Changer de prestataire informatique sans perdre vos accès, vos données ni votre continuité

Le guide complet du dirigeant : accès à récupérer, pièges contractuels, RGPD, plan de bascule en 8 étapes, modèle d'email de restitution et PV de reprise.

Article rédigé par Sylvain Gasnier, fondateur de Vaucluse Informatique — Expert en ingénierie informatique (Bac+5, Université de Lyon), plus de 10 ans d'expérience terrain. En savoir plus sur l'équipe.

En bref — ce que ce guide vous garantit

Changer de prestataire informatique n'est pas risqué en soi. Ce qui est risqué, c'est de le faire dans le désordre : résilier avant d'avoir récupéré ses accès, découvrir que le nom de domaine est au nom de l'ancien prestataire, ou que les sauvegardes n'ont jamais été testées. Ce guide vous donne la méthode complète pour reprendre le contrôle avant d'annoncer votre départ : les accès et documents à récupérer, les pièges contractuels, vos obligations RGPD, un modèle d'email de demande de restitution et un PV de reprise. Il s'adresse aux dirigeants de TPE et PME françaises, sans jargon inutile. Comptez une lecture de 15 minutes — qui peut vous éviter plusieurs semaines de blocage.

Les vrais signaux qu'il est temps de changer

Un incident isolé ne justifie pas un changement. Une accumulation de symptômes, si. Les six signaux qui reviennent dans la quasi-totalité des reprises que notre équipe effectue :

Le support répond trop tard, ou trop flou. Vous relancez plusieurs fois pour une imprimante, personne ne sait vous dire qui traite votre demande ni quand. Le problème n'est pas la panne — c'est l'absence de processus.

Les mêmes incidents reviennent. Un prestataire qui répare sans jamais prévenir traite les symptômes. Si votre serveur « replante » tous les deux mois, c'est que personne ne cherche la cause.

La facturation est incompréhensible. Vous ne savez plus ce qui est inclus dans votre contrat et ce qui est facturé en plus. Un périmètre flou profite rarement au client.

Personne ne peut vous prouver que les sauvegardes fonctionnent. « Oui oui, c'est sauvegardé » n'est pas une preuve. Une sauvegarde qui n'a jamais été restaurée en test n'est pas une sauvegarde — c'est un espoir.

Vous êtes dépendant sans le savoir. Les mots de passe, la documentation, les contrats opérateurs : tout est « chez lui ». Le jour où la relation se tend, cette dépendance devient un rapport de force.

Aucun conseil, aucune feuille de route. Votre informatique évolue par pannes successives, jamais par anticipation. La cybersécurité se limite à un antivirus installé il y a quatre ans.

Si vous cochez trois cases ou plus, la suite de ce guide vous concerne directement.

Règle d'or : ne résiliez rien avant d'avoir fait l'inventaire

C'est l'erreur qui coûte le plus cher, et elle ouvre presque tous les récits de transition ratée : le dirigeant, excédé, envoie sa résiliation — puis découvre qu'il ne possède ni ses accès, ni sa documentation, ni parfois son propre nom de domaine. La relation étant rompue, chaque récupération devient une négociation.

L'ordre correct est l'inverse : d'abord reprendre le contrôle de vos actifs, ensuite choisir le successeur, enfin notifier la résiliation. Tant que le préavis n'est pas engagé, votre prestataire actuel a toutes les raisons de coopérer normalement.

⚠️ Erreur à éviter — Demander « tous les mots de passe d'un coup, par téléphone, un vendredi ». Une demande de restitution se fait par écrit, de façon structurée, et peut s'étaler sur plusieurs demandes légitimes (voir le modèle d'email plus bas). Vous restez dans une relation professionnelle normale : vous documentez votre propre système d'information, ce qui est votre droit le plus strict — et votre responsabilité de dirigeant.

La checklist complète des accès à récupérer

Voici l'inventaire poste par poste. Tout ne s'applique pas à toutes les entreprises — mais chaque ligne qui vous concerne et dont vous n'avez pas la maîtrise est un point de dépendance.

Microsoft 365 / Google Workspace
  • Compte administrateur global : au nom de votre entreprise, avec une adresse que vous contrôlez
  • MFA (double authentification) : configurée sur un appareil de l'entreprise, pas sur le téléphone du technicien
  • Compte de secours (« break-glass ») : un second admin documenté, stocké en lieu sûr
  • Licences : qui est le revendeur ? Le rattachement partenaire (et les délégations d'administration associées) est-il connu et révocable ?
  • Boîtes partagées, groupes, règles de transport : documentés
  • Sauvegarde de Microsoft 365 : la corbeille n'est pas une sauvegarde — existe-t-il une sauvegarde tierce, et qui y accède ?
Nom de domaine, DNS, site web et messagerie
  • Registrar (bureau d'enregistrement) : le compte est-il au nom de votre entreprise ? C'est l'actif le plus critique de la liste — qui contrôle le domaine contrôle vos emails et votre site
  • Zone DNS : accès et export de la zone complète
  • Enregistrements MX, SPF, DKIM, DMARC : documentés (ils conditionnent la délivrabilité de vos emails pendant la bascule)
  • Hébergement du site web : accès au compte, aux fichiers et aux bases
  • Certificats SSL : où sont-ils gérés, quand expirent-ils ?
Serveurs, NAS et sauvegardes
  • Comptes administrateurs des serveurs (Windows/Linux) et de l'hyperviseur
  • NAS : compte admin, configuration des volumes et des instantanés
  • Sauvegardes : où sont-elles (localement, externalisées, cloud) ? Qui y a accès ? Quelle rétention ?
  • Le point décisif : la date et le résultat du dernier test de restauration. S'il n'y en a jamais eu, exigez-en un avant la transition
  • Les sauvegardes sont-elles indépendantes du prestataire sortant, ou hébergées chez lui ?
Réseau et sécurité
  • Pare-feu : compte administrateur, export de la configuration et des règles
  • VPN : qui a des accès distants à votre réseau, et lesquels ?
  • Wi-Fi : contrôleur/bornes, mots de passe des réseaux, réseau invité
  • Switchs, VLAN, plan d'adressage : documentés
  • Antivirus/EDR et outil de supervision (RMM) : consoles, licences, et surtout la liste des comptes qui peuvent prendre la main à distance sur vos postes
Postes de travail et utilisateurs
  • Comptes administrateurs locaux des postes
  • Gestionnaire de mots de passe de l'entreprise (s'il existe — sinon, c'est un chantier pour le successeur)
  • Procédure d'arrivée/départ des collaborateurs : qui crée et supprime les comptes ?
  • Logiciels métiers : comptes éditeurs, contrats de maintenance applicative, où sont les données
Télécom, téléphonie et périphériques — le grand oublié des transitions
  • Liens Internet : contrats opérateurs (fibre, 4G/5G de secours), comptes des espaces clients, dates d'engagement
  • Téléphonie fixe/IP : qui détient le contrat, les numéros (et leur portabilité), l'accès au standard
  • Forfaits mobiles de l'entreprise
  • Copieurs : contrat, compteurs, et la configuration scan-to-mail (qui casse systématiquement lors des bascules de messagerie mal préparées)
  • Alarmes et caméras connectées : comptes d'administration et applications associées

Les documents à demander en parallèle

Un prestataire sérieux tient à jour, et doit pouvoir vous remettre : le plan du réseau, l'inventaire du matériel, l'inventaire des licences, les procédures de sauvegarde, la liste des fournisseurs et contrats avec leurs échéances, et la documentation d'architecture. Si rien de tout cela n'existe, notez-le : c'est à la fois un signal sur le sortant et une tâche prioritaire pour le successeur.

Relire le contrat actuel sans se faire piéger

Avant toute notification, relisez le contrat en cherchant précisément ces clauses :

Préavis et tacite reconduction. La plupart des contrats d'infogérance se reconduisent tacitement par périodes de 12 mois avec un préavis de 3 mois. Manquer la fenêtre peut vous engager un an de plus. Notez la date limite d'envoi de la résiliation, en recommandé.

Clause de réversibilité. C'est la clause qui organise la fin de la relation : restitution des données, de la documentation et des accès, assistance à la transition, format des livrables. Son absence ne supprime pas vos droits sur vos données — mais elle rend la sortie plus floue et donc plus négociée.

Frais de sortie et prestations de passation. Une assistance à la réversibilité peut être légitimement facturée si le contrat le prévoit. Des « frais de restitution » de vos propres accès et données, en revanche, doivent vous alerter.

Propriété. Licences, configurations, développements spécifiques, documentation produite pendant le contrat : à qui appartiennent-ils ? Le point le plus sensible étant les actifs souscrits « pour votre compte » mais au nom du prestataire (domaine, hébergement, lignes télécom).

Sous-traitance et localisation. Votre prestataire fait-il appel à des sous-traitants ? Où vos données sont-elles hébergées ?

⚠️ Erreur à éviter — Considérer le contrat comme un détail administratif. C'est lui qui déterminera si votre transition dure trois semaines ou six mois. En cas de doute sur une clause, un avocat ou votre expert-comptable (souvent bon lecteur de contrats de services) vaut l'investissement. Les informations de ce guide sont générales et ne remplacent pas un conseil juridique adapté à votre situation.

RGPD : ce que le dirigeant doit vérifier avec son prestataire informatique

C'est l'angle mort de presque tous les guides — et pourtant, votre prestataire informatique accède potentiellement à des données personnelles : messagerie, fichiers RH, comptabilité, données clients. Au sens du RGPD, il agit alors comme sous-traitant, et vous restez responsable de traitement. Concrètement, quatre vérifications :

Le contrat encadre-t-il le traitement des données ? Le RGPD (article 28) impose que la relation avec un sous-traitant soit encadrée contractuellement : nature des accès, finalités, confidentialité, sort des données en fin de contrat. La CNIL publie un guide dédié aux relations responsable de traitement / sous-traitant — demandez si votre contrat comporte cette annexe (souvent appelée DPA).

Qui accède à quoi ? Votre prestataire doit pouvoir dire quels comptes techniques accèdent à vos données, et pourquoi.

Où sont hébergées les données — y compris les sauvegardes ? En France, dans l'Union européenne, ailleurs ?

Que prévoit la fin de contrat ? Restitution puis suppression des données chez le sortant, avec confirmation écrite. Une copie de vos sauvegardes qui « reste » indéfiniment chez un ancien prestataire est une anomalie, pas une faveur.

Pour aller plus loin, l'ANSSI publie un guide sur l'externalisation et la sécurité des systèmes d'information : la logique à retenir est la sienne — externaliser un service n'externalise jamais la responsabilité, et toute externalisation se cadre par une analyse des risques et des exigences écrites.

Preuves de propriété : payer ne suffit pas

Vérifiez, preuve à l'appui, que ces actifs sont juridiquement au nom de votre entreprise — pas « gérés pour vous » sur un compte du prestataire : le nom de domaine (une recherche whois vous donne le titulaire en deux minutes), le tenant Microsoft 365 et ses licences, les contrats opérateurs (Internet, téléphonie, mobiles), les licences logicielles (antivirus, sauvegarde, métier), les espaces clients des hébergeurs et éditeurs, et les numéros de téléphonede l'entreprise. Chaque actif logé chez le prestataire est un point de friction potentiel le jour du départ — et parfois un vrai levier de rétention.

Faire auditer l'existant avant de signer le nouveau contrat

Le futur prestataire sérieux ne vous fera pas signer sur catalogue : il commencera par un audit de reprise. C'est dans les deux camps un intérêt bien compris — vous découvrez l'état réel de votre système, il découvre ce qu'il s'engage à reprendre. L'audit couvre au minimum : l'infrastructure (serveurs, réseau, postes), la sécurité (comptes, mises à jour, protections), les sauvegardes (avec test de restauration), Microsoft 365, les télécoms et la téléphonie, et les contrats en cours avec leurs échéances. Le livrable attendu : un état des lieux écrit — risques classés par priorité, dépendances, et plan d'action. Chez Vaucluse Informatique, cet audit est l'étape 1 de toute reprise : il devient la feuille de route des 90 premiers jours.

Choisir le successeur : les questions qui éliminent les mauvais

Au-delà des références et des certifications, huit questions dont les réponses ne trompent pas :

  1. Comment est organisé votre support ? (Un circuit clair avec suivi des demandes, ou « vous m'appelez sur mon portable » ?)
  2. Qui interviendra réellement chez nous ? (Une équipe identifiée qui vous connaît, ou un technicien différent à chaque fois ?)
  3. Quelle documentation nous sera remise, et à quelle fréquence est-elle mise à jour ?
  4. Comment gérez-vous nos accès et mots de passe ? (La bonne réponse implique un coffre-fort chiffré — pas un fichier Excel.)
  5. Comment se passerait une future réversibilité ? (Un prestataire qui organise sa propre sortie dès l'entrée est un prestataire qui ne compte pas vous retenir de force.)
  6. Qu'est-ce qui est inclus, et qu'est-ce qui ne l'est pas ? (Exigez la liste écrite des deux.)
  7. Quelle est votre approche de la sauvegarde et de la cybersécurité ? (Cherchez la supervision proactive et les tests de restauration, pas l'empilement de logiciels.)
  8. À quelle fréquence ferons-nous le point ? (Un contrat d'infogérance sans rendez-vous de pilotage est un contrat qu'on subit.)

Organiser la cohabitation entre l'ancien et le nouveau

Pendant le préavis, deux prestataires coexistent. Sans règles écrites, cette période produit des zones grises où chacun pense que l'autre gère. Fixez noir sur blanc, dès le démarrage : qui traite les incidentsdu quotidien (en général le sortant, jusqu'à la date de bascule), qui parle aux utilisateurs et avec quel message, qui a le droit de modifier les accès et configurations (règle saine : gel des changements non urgents pendant la transition), et qui valide les sauvegardes chaque semaine. Un simple tableau à deux colonnes, daté et partagé, suffit — mais il doit exister.

Le plan de bascule, étape par étape

01

Préparation

Inventaire complet validé, documentation récupérée, audit réalisé, calendrier partagé avec les deux prestataires.

02

Sécurisation des accès

Création des comptes administrateurs du successeur, vérification des comptes de secours, coffre-fort de mots de passe initialisé.

03

Déploiement des outils du successeur

Supervision, protection des postes, prise en main à distance : installés en parallèle de l'existant, sans coupure.

04

Reprise de la supervision

Le successeur voit désormais votre parc en continu ; les alertes basculent vers lui.

05

Test des sauvegardes

Restauration d'essai documentée, nouvelle chaîne de sauvegarde indépendante du sortant opérationnelle.

06

Bascule du support

À date convenue, les utilisateurs contactent le nouveau support ; communication interne faite la veille, consignes simples.

07

Révocation progressive des anciens accès

Voir la section dédiée ; jamais « tout d'un coup » tant que la passation n'est pas confirmée complète.

08

Validation finale

Signature du PV de reprise (modèle plus bas), qui clôt formellement la transition.

Bien préparée, une bascule est un non-événement pour vos équipes : les changements visibles se résument à un nouveau numéro de support et, parfois, une nouvelle icône dans la barre des tâches.

⚠️ Erreur à éviter — Pendant la transition, vos équipes sont plus vulnérables au phishing : un email « votre messagerie migre, cliquez ici pour conserver vos données » paraîtra crédible. Prévenez-les explicitement : toute communication liée à la migration passera par un canal annoncé à l'avance, et jamais par un lien à cliquer dans l'urgence.

Sécurité de sortie : la liste des révocations

Une fois la passation confirmée, chaque accès de l'ancien prestataire encore actif est une porte ouverte inutile. À révoquer méthodiquement : ses comptes administrateurs (serveurs, M365, NAS, pare-feu), ses accès VPN et clés SSH, son outil de prise en main à distance et sa supervision (désinstallation de ses agents), ses accès aux portails éditeurs et fournisseurs, son rattachement partenaire/revendeur sur vos licences, les éventuelles redirections de messagerie vers ses adresses, ses règles dédiées dans le pare-feu, et ses accès aux sauvegardes. Puis rotation des mots de passe sensibles. Ce n'est pas de la défiance — c'est de l'hygiène, et un prestataire professionnel sortant vous le confirmera par écrit sans état d'âme.

Que faire si l'ancien prestataire bloque ?

D'abord, qualifier la situation : un délai de quelques jours ouvrés sur une demande volumineuse est normal ; un désaccord sur des frais de passation est commercial et se négocie ; la rétention d'accès ou de données pour faire pression, elle, n'est pas acceptable — vos données vous appartiennent, et le RGPD comme la jurisprudence sur la réversibilité jouent en votre faveur. La méthode, par paliers :

  1. Tout formaliser par écrit, avec des demandes précises et datées (le modèle d'email ci-dessous).
  2. Prioriser : exigez d'abord ce qui conditionne votre continuité — domaine/DNS, admin M365, sauvegardes — le reste peut suivre.
  3. Contourner quand c'est possible : pour un domaine, une procédure de récupération existe chez les registrars avec preuve de propriété (Kbis, factures) ; pour Microsoft 365, le support Microsoft peut réattribuer un tenant à son propriétaire légitime ; les opérateurs télécom ont des procédures similaires.
  4. Préserver les preuves : emails, captures, factures établissant que les actifs sont les vôtres.
  5. Escalader en dernier recours : mise en demeure par avocat. Dans les faits, la grande majorité des blocages cèdent à la première lettre — peu de prestataires prennent le risque juridique d'une rétention caractérisée.

Modèles pratiques

Email de demande de restitution

À adapter, à envoyer depuis une adresse de direction.

Objet : Demande de documentation et d'accès — [Société]

Bonjour [Prénom],

Dans le cadre de la mise à jour de notre dossier interne, je souhaite disposer d'une copie des éléments relatifs à notre système d'information :

— la liste des comptes administrateurs (serveurs, messagerie, réseau, sauvegardes) avec leurs identifiants, transmise de façon sécurisée ;
— la documentation technique : plan réseau, inventaires matériel et licences, procédures de sauvegarde ;
— la liste de nos contrats et abonnements gérés par vos soins (opérateurs, licences, hébergement), avec leurs échéances ;
— la confirmation du titulaire de notre nom de domaine et l'accès à l'espace de gestion associé.

Merci de me proposer un créneau cette semaine ou la suivante pour organiser cette transmission.

Bien cordialement,
[Nom, fonction]

PV de reprise informatique

Le livrable qui clôt la transition — une page, signée des deux parties ou a minima archivée en interne.

Procès-verbal de reprise du système d'information — [Société], le [date]

1. Accès remis et vérifiés : ☐ Serveurs ☐ M365/Workspace ☐ Domaine & DNS ☐ Réseau/pare-feu ☐ NAS & sauvegardes ☐ Télécoms & téléphonie ☐ Logiciels métiers
2. Documentation reçue : ☐ Plan réseau ☐ Inventaires ☐ Procédures ☐ Contrats & échéances
3. Sauvegardes : dernier test de restauration le [date], résultat : [OK/KO], nouvelle chaîne indépendante : ☐ opérationnelle
4. Accès de l'ancien prestataire : ☐ révoqués le [date] ☐ confirmation écrite reçue
5. Données chez le sortant : ☐ restituées ☐ suppression confirmée par écrit
6. Risques résiduels identifiés et plan d'action : [liste courte, avec échéances]

Les 30 / 60 / 90 premiers jours avec le nouveau prestataire

Jours 1-30 — stabiliser : traiter les urgences de l'audit, fiabiliser les sauvegardes (test de restauration inclus), finaliser les révocations. Jours 31-60 — corriger : résorber les risques prioritaires (mises à jour en retard, comptes obsolètes, protections manquantes), compléter la documentation. Jours 61-90 — piloter : premier comité de pilotage avec revue des indicateurs, ajustement du périmètre si besoin, et feuille de route à 12 mois. Si à 90 jours vous n'avez ni documentation à jour, ni preuve de restauration, ni rendez-vous de pilotage planifié — vous savez désormais lire les signaux.

FAQ dirigeant

Peut-on changer de prestataire sans coupure d'activité ?

Oui, c'est même le critère d'une transition réussie : les outils du successeur s'installent en parallèle, la bascule du support se fait à date convenue, et les utilisateurs ne perçoivent qu'un changement d'interlocuteur.

Mon prestataire peut-il légitimement garder mes mots de passe ?

Non. Les accès de votre système d'information vous appartiennent. Un prestataire peut encadrer la transmission (délai raisonnable, canal sécurisé, éventuelle prestation de passation prévue au contrat), pas la refuser.

Que faire si mon nom de domaine est enregistré au nom du prestataire ?

Demander d'abord le transfert à l'amiable vers un compte à votre nom. En cas de refus, les registrars disposent de procédures de récupération sur preuve de propriété (Kbis, factures, antériorité d'usage). C'est récupérable — mais c'est du temps perdu qu'une simple vérification whois en amont vous aurait épargné.

Dois-je prévenir mon prestataire actuel avant de faire auditer mon parc ?

Rien ne vous y oblige : vous faites auditer votre propre système. Dans les faits, l'audit de reprise se déroule souvent discrètement, et le sortant n'est notifié qu'au moment de la résiliation formelle.

Les sauvegardes sont hébergées chez lui : c'est grave ?

C'est le point à traiter en premier. Exigez une copie exploitable de vos données, faites constituer par le successeur une chaîne de sauvegarde indépendante, et obtenez la confirmation écrite de la suppression chez le sortant une fois la transition achevée.

Comment éviter de recréer la même dépendance avec le nouveau ?

Exigez dès le premier jour ce que l'ancien ne vous donnait pas : les accès à votre nom, un coffre de mots de passe dont vous êtes copropriétaire, une documentation vivante, une clause de réversibilité claire — et un prestataire qui accepte ces conditions sans se braquer. C'est exactement ce qu'un contrat comme notre socle VIgie formalise : la supervision et le quotidien sont chez nous, la propriété et les preuves restent chez vous.

Vous envisagez de changer de prestataire en Vaucluse ou dans le Grand Avignon ? Notre équipe réalise l'audit de reprise qui sert de point de départ — état des lieux écrit, risques priorisés, plan de bascule. Note Google : 5,0/5 — 138 avis. Parler à un expert →

Parlons de votre situation.

Échange sans engagement, directement chez vous

04 65 09 00 18
Appeler