TL;DR — sélection prestataire en un coup d’œil
Bien choisir une société de développement logiciel repose sur six dimensions. Évaluez chaque candidat sur ces critères avant de comparer les prix :
- Certifications : ISO 27001 (sécurité de l’information) + SOC 2 Type II (entreprises US/UE) + DPA article 28 RGPD pour les données UE + conformité CNIL si applicable
- PI & NDA : NDA mutuel avant partage des spécifications ; contrat cédant toute la PI au client ; code hébergé dans un dépôt appartenant au client
- Adéquation du portfolio : au moins 2 projets dans votre niveau de complexité et secteur, livrés dans les 24 derniers mois
- Modèle d’engagement : prix fixe (périmètre stable, petit build) / régie (produit évolutif) / équipe dédiée (vélocité continue)
- Références : 2–3 appels en direct, pas seulement des témoignages écrits sur un profil
- Communication : chevauchement de fuseaux horaires, chef de projet nommé, parcours d’escalade défini
Qualité vs prix bas : le vrai arbitrage
L’équipe offshore à 25 €/h et l’équipe nearshore senior à 65 €/h promettent toutes les deux de construire votre produit. La différence se voit 6 mois plus tard. Les prestataires pratiquant des tarifs inférieurs au marché compensent généralement en :
- Staffant les projets avec des ingénieurs juniors nécessitant une supervision intensive
- Recourant à des sous-traitants non divulgués, créant un risque de chaîne de titre sur la PI
- Omettant les contrôles de sécurité, les journaux d’audit et l’architecture de conformité (coûteux à mettre en place a posteriori)
- Livrant des démos fonctionnelles masquant une dette architecturale nécessitant des réécritures à l’échelle
Les études Gartner sur l’externalisation informatique montrent de manière constante que les taux de reprise sur les engagements à bas coût s’établissent en moyenne à 20–40 % du total des heures. Sur un projet à 150 000 €, 30 % de reprises représentent 45 000 € supplémentaires qui n’apparaissent jamais dans la proposition. Ajoutez la charge de pilotage que votre équipe supporte pour encadrer un engagement sous-performant, et l’option « bon marché » coûte fréquemment plus cher qu’un engagement bien cadré avec un partenaire senior.
Cela ne signifie pas que vous avez besoin du prestataire le plus cher du marché. Cela signifie que la valeur pour la qualité est le bon critère d’optimisation, pas le taux horaire le plus bas. Pour une comparaison économique complète, consultez notre guide sur externalisation vs développement en interne.
Certifications : ISO 27001, SOC 2, RGPD et CNIL
Les certifications ne sont pas de la bureaucratie — ce sont des preuves auditées indépendamment qu’un prestataire a mis en œuvre des contrôles spécifiques. Voici ce que chacune signifie en pratique :
ISO 27001
La norme internationale pour les systèmes de management de la sécurité de l’information (SMSI). Un prestataire certifié ISO 27001 a subi un audit tiers de ses politiques, contrôles d’accès, procédures de réponse aux incidents, gestion des fournisseurs et sécurité physique/cloud. La certification est délivrée par des organismes accrédités et exige des audits de surveillance annuels. Pour tout projet impliquant des données personnelles, financières ou réglementées, l’ISO 27001 est le minimum attendu — pas un différenciateur.
SOC 2 Type II
Norme d’audit d’origine américaine, désormais largement exigée par les achats d’entreprises aux États-Unis et en Europe. Le Type I est une évaluation ponctuelle ; le Type II couvre une période soutenue (généralement 6–12 mois) et est donc bien plus significatif. Un rapport SOC 2 Type II fournit à votre équipe sécurité des preuves directes que les contrôles étaient effectivement opérationnels dans le temps, pas seulement documentés. Consultez notre article sur SOC 2 Type II pour les startups SaaS pour le contexte de ce que couvre l’audit.
RGPD — article 28 DPA et conformité CNIL
En vertu du RGPD (Règlement UE 2016/679), si votre prestataire traite des données personnelles de résidents UE pour votre compte, il est un « sous-traitant » au sens du RGPD et l’article 28 exige un contrat de traitement de données (DPA) écrit. Ce n’est pas optionnel. Pour les traitements sous-traités soumis à la CNIL (formalités préalables, DPO, AIPD), vérifiez que votre prestataire dispose d’un DPO ou d’un référent RGPD. Pour les projets de santé numérique, vérifiez la qualification Hébergeur de Données de Santé (HDS). Vérifiez le DPA avant l’intégration, pas après une violation de données.
Sécurité, NDA et protection IP
La protection de la PI et des données en externalisation logicielle est régie par le droit des contrats, pas par la confiance. Les protections contractuelles suivantes sont non négociables :
NDA mutuel avant partage des spécifications
Tout prestataire qui refuse de signer un NDA avant de recevoir vos spécifications techniques est un prestataire avec lequel vous ne devriez pas travailler. Le NDA doit être mutuel (protégeant les deux parties), couvrir les secrets commerciaux et le savoir-faire technique, et préciser la juridiction et les recours. Pour les clients français, le droit français est standard ; vérifiez que la juridiction compétente correspond à votre pays d’opération principal.
Clause de cession de PI
Votre contrat doit inclure une clause de cession qui attribue explicitement à votre société toute la propriété intellectuelle créée pendant l’engagement. Confirmez que cela s’étend au : code source, assets de design, documentation, suites de tests, scripts CI/CD et librairies personnalisées. Vérifiez également que le prestataire n’inclut pas de composants open-source sous licence GPL dans les livrables sans divulgation.
Propriété du dépôt de code
Tout le code doit être commité dans un dépôt appartenant à votre organisation et contrôlé par elle dès le premier jour de l’engagement. N’acceptez jamais un modèle où le prestataire contrôle le dépôt principal. À la résiliation du contrat, exigez la remise de tous les identifiants, jetons d’accès, configurations d’infrastructure et scripts de déploiement.
Divulgation des sous-traitants
Demandez explicitement si une partie du travail sera réalisée par des sous-traitants ou des freelances, et exigez la divulgation de leur identité. Chaque sous-traitant doit être lié par des termes NDA et de cession de PI équivalents. La sous-traitance non divulguée est une source courante de litiges sur la chaîne de titre PI et d’incidents de sécurité. Dans le contexte RGPD, les sous-traitants ultérieurs doivent être mentionnés dans le DPA article 28.
Références : études de cas et appels clients
Le portfolio et les références sont les indicateurs avancés les plus fiables de la qualité de livraison. Évaluez-les de manière critique, pas superficiellement.
Évaluation du portfolio
Recherchez au moins deux projets dans votre niveau de complexité (simple / moyen / enterprise) et votre secteur vertical, livrés dans les 24 derniers mois. La récence est importante : une étude de cas FinTech de 2018 ne vous dit rien sur l’équipe actuelle, la chaîne d’outils ou la posture de conformité du prestataire. Demandez si les ingénieurs lead du projet référencé sont toujours dans l’entreprise.
Appels de référence
Les témoignages écrits sur Clutch ou le site du prestataire sont du matériel marketing sélectionné. Les appels de référence en direct sont différents. Demandez au prestataire 2–3 références issues de projets de complexité comparable. Lors de l’appel, abordez ces points :
- Le projet a-t-il été livré dans les délais et dans 15 % du budget initial ?
- Comment le prestataire a-t-il géré les évolutions de périmètre et les imprévus techniques ?
- Comment était la communication pendant l’engagement — proactive ou réactive ?
- Que feriez-vous différemment si vous les sollicitiez à nouveau ?
- Les engageriez-vous à nouveau pour votre prochain projet ?
Un prestataire qui ne peut pas fournir un client de référence en direct a quelque chose à cacher.
Comparatif des modèles d’engagement
Le modèle d’engagement détermine qui supporte le risque de périmètre, comment les coûts sont structurés et dans quelle mesure l’engagement est adaptable aux exigences changeantes.
| Modèle | Fonctionnement | Idéal pour | Risque |
|---|---|---|---|
| Prix fixe | Périmètre, calendrier et prix convenus. Modifications via avenants formels. | MVP bien défini, petit build (< 75 000 €), exigences stables | Le prestataire gonfle le prix pour absorber le risque périmètre ; l’ambigûité des spécifications génère des litiges |
| Régie (Time & Materials) | Facturation sur les heures et matériaux réels. Le périmètre peut évoluer sprint par sprint. | Développement produit itératif, SaaS, continuité discovery-to-build | Dépassement budgétaire sans suivi PM rigoureux ; nécessite une forte implication client |
| Équipe dédiée | Ingénieurs seniors nommés intégrés dans votre équipe. Forfait mensuel. | Développement continu, montée en charge d’un produit existant, engagement long terme | Risque de concentration des connaissances ; nécessite une forte propriété produit en interne |
La plupart des builds de taille moyenne bénéficient d’une approche hybride : une phase de discovery et d’architecture à prix fixe (4–6 semaines), suivie de sprints de livraison en régie avec plafonds mensuels. Cela réduit le risque de périmètre initial tout en maintenant la flexibilité de livraison. Pour les produits long terme, un modèle d’équipe dédiée avec objectifs trimestriels offre le meilleur équilibre entre vélocité et responsabilité.
Signaux d’alarme à surveiller
Les patterns suivants, pris individuellement ou combinés, signalent un risque de livraison élevé :
- Prix fixe cité sans phase de discovery — tout prestataire citant un prix fixe ferme sur un système de complexité moyenne ou élevée sans phase de discovery de 4–6 semaines sous-estime ou cache des hypothèses périmètre qui remonteront sous forme d’avenants en cours de projet.
- Absence de certificat ISO 27001 ou SOC 2 actuel à la demande — prétendre être conforme sans pouvoir produire le certificat n’est pas de la conformité.
- Références non joignables directement — témoignages écrits uniquement, pas de coordonnées directes.
- Dépôt de code contrôlé par le prestataire — si le prestataire possède le dépôt, vous dépendez de lui pour accéder à votre propre produit à tout moment, y compris en cas de litige.
- Politique de sous-traitance vague — « nous pouvons utiliser des partenaires » sans divulgation spécifique représente un risque PI et un risque de traitement de données RGPD.
- Calendriers irréalistes par rapport au périmètre — une équipe senior livrant un build de 4 mois en 6 semaines devrait soulever des questions sur ce qui est omis (tests, audit sécurité, documentation).
- Pas de chef de projet nommé — « l’équipe sera votre point de contact » est une structure de communication qui s’effondre sous pression.
- Opacité excessive sur les informations de base de l’entreprise — les prestataires légitimes fournissent l’extrait K-bis ou équivalent, les attestations d’assurance et les références financières ; une opacité excessive est un signal d’alarme de due diligence.
15 questions à poser à chaque prestataire logiciel
Utilisez ces questions dans votre revue initiale des réponses à l’appel d’offres et lors des appels de suivi. Les réponses faibles ou évasives en disent plus que les réponses soignées.
- Pouvez-vous fournir votre certificat ISO 27001 actuel et, le cas échéant, votre dernier rapport SOC 2 Type II ?
- Disposez-vous d’un contrat de traitement de données standard (DPA article 28 RGPD) et pouvons-nous le consulter avant signature ?
- Qui sera propriétaire de la propriété intellectuelle de tous les livrables — spécifiquement le code source, les assets de design et la documentation ?
- Une partie du travail sera-t-elle réalisée par des sous-traitants ou freelances ? Si oui, qui sont-ils et quels termes NDA/PI les lient ?
- Dans quel dépôt notre code sera-t-il hébergé, et aurons-nous un accès administrateur complet dès le premier jour ?
- Pouvez-vous fournir 2–3 clients de référence issus de projets de complexité comparable que nous pouvons contacter directement ?
- Quel modèle d’engagement proposez-vous pour notre projet, et pourquoi ?
- Qui sera le chef de projet nommé, et quel est votre processus d’escalade en cas de problèmes ?
- Quel est l’ancienneté moyenne de votre équipe d’ingénieurs, et quel est votre taux de rotation actuel ?
- Comment gérez-vous les évolutions de périmètre dans le cadre d’un contrat à prix fixe ?
- Quelles pratiques de sécurité sont intégrées dans votre processus de développement (revue de code, SAST, analyse des dépendances, tests de pénétration) ?
- Comment gérez-vous la localisation et le traitement des données personnelles UE conformément au RGPD et aux obligations CNIL ?
- Quels sont vos livrables de passation standard en fin de contrat (code, identifiants, documentation, transfert de connaissances) ?
- Quel SLA proposez-vous pour le support post-lancement et les corrections de bugs ?
- Pouvez-vous fournir une ventilation des coûts entièrement détaillée par phase, avec les hypothèses explicites pour chaque ligne ?
Modèle de scorecard prestataire
Utilisez cette matrice de notation pondérée pour comparer objectivement les prestataires présélectionnés. Ajustez les poids pour refléter vos priorités (les secteurs réglementés devraient pondérer la sécurité plus fortement ; les startups peuvent pondérer davantage la communication et l’agilité).
| Dimension | Poids | Note 1–5 | Score pondéré |
|---|---|---|---|
| Certifications techniques (ISO 27001, SOC 2, DPA RGPD) | 20 % | ||
| Adéquation du portfolio (niveau de complexité & secteur) | 20 % | ||
| Qualité des références (appels en direct, récence) | 15 % | ||
| PI & termes contractuels | 15 % | ||
| Modèle d’engagement & transparence tarifaire | 15 % | ||
| Communication & adéquation des fuseaux horaires | 10 % | ||
| Ancienneté & rétention de l’équipe | 5 % | ||
| Total | 100 % |
Un prestataire obtenant moins de 3,0 sur les certifications ou les termes PI doit être éliminé de la présélection quel que soit son score total — ce sont des critères rédhibitoires, pas des critères de compromis. Pour le contexte de ce à quoi ressemble le cycle complet de l’engagement une fois le partenaire sélectionné, consultez notre guide sur le processus de développement logiciel sur mesure.
FAQ
Comment choisir une société de développement logiciel ?
Commencez par les certifications et l’adéquation réglementaire (ISO 27001, SOC 2, DPA RGPD, CNIL). Examinez le portfolio pour des projets dans votre niveau de complexité et secteur des 24 derniers mois. Vérifiez contractuellement la propriété IP et les termes NDA. Comparez les modèles d’engagement par rapport à la stabilité de votre périmètre. Conduisez des appels de référence en direct — pas seulement des témoignages écrits. Notez les candidats sur une matrice pondérée et éliminez tout prestataire sous le seuil sur les certifications ou les termes PI, indépendamment du prix.
Quelles certifications doit avoir un prestataire logiciel ?
L’ISO 27001 est le minimum pour tout engagement impliquant des données sensibles. SOC 2 Type II est standard pour les achats d’entreprises US. Le DPA article 28 RGPD est obligatoire pour le traitement de données personnelles UE. Pour les projets soumis à la CNIL, vérifiez que le prestataire dispose d’un référent RGPD. Pour la santé numérique en France, la qualification HDS est requise. Demandez le certificat ou rapport d’audit actuel, pas une allégation marketing de « conformité ».
Comment protéger ma PI et mes données lors d’une externalisation ?
Quatre protections contractuelles sont non négociables : NDA mutuel avant partage des spécifications ; clause de cession PI transférant toute la PI créée à votre société ; code hébergé dans votre propre dépôt dès le premier jour ; et un DPA article 28 RGPD si des données personnelles UE sont impliquées. Exigez également la divulgation explicite de tout sous-traitant et confirmez qu’ils sont liés par des termes équivalents. Faites examiner toutes les clauses par un conseil juridique — pas seulement l’SOW — avant signature.
Prix fixe ou régie pour le développement logiciel ?
Le prix fixe est adapté aux petits builds bien définis et stables (généralement inférieurs à 75 000 €). La régie est mieux adaptée aux produits itératifs évolutifs où les exigences changeront en cours de livraison. Un forfait d’équipe dédiée convient au développement continu long terme. L’approche la plus pragmatique pour les builds de taille moyenne est une phase de discovery à prix fixe (4–6 semaines) suivie d’une livraison en régie, combinant clarté du périmètre et flexibilité de livraison.
Quels sont les signaux d’alarme chez une agence de développement logiciel ?
Signaux clés : prix fixe cité sans phase de discovery ; absence de certificat ISO 27001 ou SOC 2 actuel ; références non joignables directement ; dépôt de code contrôlé par le prestataire ; divulgation vague des sous-traitants ; calendriers irréalistes par rapport au périmètre ; pas de chef de projet nommé ; et opacité excessive sur le statut juridique et financier de l’entreprise.
Comment vérifier les références d’une société de développement logiciel ?
Demandez 2–3 contacts de référence en direct issus de projets de complexité comparable livrés dans les 18 derniers mois. Appelez-les directement. Demandez si le projet a été livré dans les délais et le budget, comment les évolutions de périmètre et les problèmes ont été gérés, s’ils réemploieraient le prestataire, et ce qu’ils feraient différemment. Croisez avec les avis Clutch ou G2, mais traitez les appels en direct comme le signal principal — les témoignages écrits sélectionnés ne sont pas un substitut.
Dernière mise à jour le 8 juin 2026. Les exigences de certification reflètent ISO/IEC 27001:2022, AICPA SOC 2, le Règlement UE 2016/679 (RGPD) et les lignes directrices CNIL en date de publication. Les exigences juridiques varient selon les juridictions ; consultez un conseil juridique qualifié pour toute revue contractuelle.
