Pour mettre à disposition votre solution « Software-as-a-Service » (SaaS) en tant qu’éditeur ou prestataire SaaS, et éventuellement répondre avec succès à un appel d’offres, un contrat SaaS devra être rédigé et présenté à votre client.
Le contrat SaaS a cette particularité de réunir à lui seul différents types de contrats informatiques : licence d’utilisation de logiciel, contrat de prestation de services, contrat de maintenance, contrat d’assistance technique, etc. C’est aussi ce qui le rend complexe. Le prestataire SaaS doit en effet répondre à une multitude d’engagements au titre de la mise à disposition, disponibilité ou, de la qualité et de la performance de son service en mode SaaS.
L’ensemble de ces problématiques seront négociées avec votre client et devront être strictement encadrées par et prévues par les clauses du contrat SaaS.
Maître Benjamin Znaty, avocat spécialisé en droit des nouvelles technologies, revient sur 5 décrypte les 8 grandes catégories de clauses qu’un éditeur SaaS doit savoir négocier dans un contrat SaaS qu’il présente à ses clients.
- Les clauses relatives à la description du service
- Les clauses relatives à la disponibilité du service ou le SLA
- Les clauses relatives au traitement des données personnelles
- Les clauses relatives aux garanties et responsabilités
- Les clauses de résiliation et de réversibilité
- Pourquoi se rapprocher d’un expert ?
Les clauses relatives à la description du service
Quels sont les services concernés ? Les fonctionnalités proposées ? Quel est le niveau d’accès aux solutions ?
Bien encadrer contractuellement le périmètre de l’offre SaaS permettra pour l’éditeur SaaS de ne pas être tenu pour responsable d’éléments dont il n’a pas la maîtrise. En effet, un certain nombre d’offres SaaS impliquent une connexion avec des composants tiers ou avec l’environnement du client pour pouvoir délivrer le service concerné. On peut notamment penser aux offres SaaS ayant pour vocation d’analyser ou traiter des données provenant de ces sources tierces.
En cas de dysfonctionnement du service SaaS causé par ces éléments tiers, il sera plus complexe pour l’éditeur SaaS de démontrer son absence de responsabilité vis-à vis de son client s'il n’a pas encadré contractuellement le périmètre de son offre.
Les clauses relatives à la disponibilité du service ou le SLA
Dans le monde du SaaS, la disponibilité est très souvent un point essentiel des négociations contractuelles. Les niveaux du service offerts par l’éditeur constituent en effet des engagements qui devront être négociés et encadrés par des clauses du contrat. Ces engagements sont très souvent matérialisés au sein d’un document contractuel spécifique appelé “accord de niveau de service” ou “service level agreement” (SLA).
À cet égard, le client souhaitera souvent bénéficier d’un niveau optimal de disponibilité du service SaaS avec un accès 24h/24 7j/7 à la solution SaaS. Un taux de disponibilité à 100% semble toutefois illusoire en matière de service en ligne. C’est en ce sens qu’il est important pour l’éditeur de SaaS de définir au mieux le taux de disponibilité garanti et les conséquences en cas de non-respect de ce taux.
Des avoirs - dont le montant a vocation à être négocié - pourront notamment trouver application en cas de non-respect du taux de disponibilité mensuel garanti par l’éditeur.
À défaut de précision, il sera complexe pour l’éditeur de limiter sa responsabilité en cas d’interruption du service SaaS causant préjudice au client. Il est en ce sens préférable pour l’éditeur SaaS d’offrir au client des avoirs ou crédits de service en cas de non-disponibilité, dont le montant et conditions d’octroi sont maitrisés par le SLA, plutôt que de s’exposer à une action en responsabilité de la part du client portant sur des demandes bien plus élevées.
Le SLA va aussi souvent venir définir les conditions de support et de maintenance du service. Il s’agit de décrire précisément la manière dont le prestataire assiste son client en cas d’interruption, dysfonctionnement ou autre incident. Comment s’engage-t-il à résoudre les problèmes en cas de bug ou d’incident ? Quels sont les éventuels délais d’intervention et de résolution ?
L’éditeur SaaS aura ici intérêt à prévoir ici des objectifs alors que le client aura tendance à vouloir imposer des engagements de résultat.
C’est le cas de la garantie de temps de rétablissement (GTR), de la durée maximale d’indisponibilité admise par le client (RTO), ou encore la durée maximale d’enregistrement des données (RPO).
La qualité et la disponibilité du service sont ainsi des questions majeures du contrat SaaS et de son SLA. Toutefois, le prestataire ne saurait être tenu responsable de toutes les défaillances. C’est notamment le cas, lorsque celles-ci relèvent du réseau, à des virus ou des actes de malveillances. Attention donc à bien prévoir également au sein du SLA les exceptions aux engagements de disponibilité et d’assistance pris par l’éditeur.
Les clauses relatives au traitement des données personnelles
La mise à disposition d’une offre SaaS implique presque systématiquement le traitement de données à caractère personnel détenues par le client par l’éditeur SaaS.
À l’occasion des services qu’il rend à son client, le prestataire SaaS peut revêtir en réalité deux casquettes au titre du RGPD : celle de responsable de traitement et celle de sous-traitant. En réalité, la qualification retenue va directement dépendre de la finalité du traitement.
Pour plus d’infos à ce sujet, je vous invite à lire mon article : Le statut RGPD de l’éditeur SaaS : responsable de traitement, sous-traitant ou les deux ?
Qu’il agisse en tant que responsable de traitement ou sous-traitant, l’éditeur SaaS sera responsable de la bonne conservation des données personnelles que lui confie son client. Les exigences du client seront toutefois plus importantes lorsque l’éditeur SaaS agit en tant que sous-traitant au regard des données concernées. En effet, dans une telle situation, le client est alors le responsable de traitement et il pourra être tenu responsable par la CNIL des manquements au RGPD commis par l’éditeur SaaS, ayant le rôle de sous-traitant.
C’est pour cela que les clauses relatives au traitement des données personnelles font souvent l’objet de négociations très soutenues lors de la contractualisation d’une offre SaaS.
Ces négociations sont par ailleurs très souvent impactées par des contraintes d’ordre réglementaire, notamment lorsque le logiciel SaaS implique des transferts de données hors Union Européenne.
En fonction de l’importance et de la sensibilité des données amenées à circuler en mode SaaS, le client pourra également être amené à négocier les facultés d’audit du prestataire. Une clause d’audit pourra donc être insérée au contrat. Cet audit pourra être renouvelé dans le temps et tout au long de la durée contractuelle avec votre client. Les coûts de cet audit pourront toutefois être négociés.
Les clauses relatives aux garanties et responsabilités
Lorsqu’un client souscrit à une offre SaaS, il va souvent externaliser au prestataire SaaS une fonction de son entreprise qu’il aurait en principe assumer via une offre localisée sur ses propres serveurs et infrastructures. Si cette externalisation présente des avantages certains pour le client, notamment en termes de coûts et d’investissements, elle implique nécessairement une perte de contrôle du client et des risques associés.
Et ces risques sont nombreux :
- perte ou atteinte aux données ;
- fuite d’information confidentielles ;
- manquements à la réglementation ;
- indisponibilité du service…
Le contrat SaaS doit nécessairement envisager clairement les responsabilités de chacun, par exemple en cas de vol ou de perte des données ou d’utilisation illicite des informations confiées.
En tant que prestataire SaaS, il est indispensable de cadrer au mieux les contours et limites de votre responsabilité au sein du contrat. Votre client, à l'inverse, va tenter d’écarter toute présence de clause limitative de responsabilité afin de garantir que son éventuel préjudice soit intégralement réparé.
Afin de trouver un équilibre acceptable pour les deux parties, il est recommandé de négocier et d’évaluer des plafonnements de responsabilité appropriés aux risques encourus par l’offre SaaS. Des plafonds de responsabilité spécifiques et plus élevés pourront également être proposés afin d’encadrer des manquements particulièrement sensibles pour certains clients, comme les manquements au RGPD.
Il est également recommandé de cadrer au mieux le périmètre de responsabilité et d’exclure expressément certains manquements qui relèvent de la responsabilité du client ou de tiers au contrat.
Les clauses de résiliation et de réversibilité
Le contrat SaaS doit nécessairement prévoir les causes de sa résiliation. Le contrat peut ainsi prendre fin à l’issue de sa période si celle-ci était déterminée. Les parties peuvent toutefois prévoir des règles de renouvellement. Le modèle économique d’une offre en SaaS étant généralement l’abonnement, le prestataire SaaS aura donc intérêt à prévoir une clause de reconduction tacite en cas de contrat à durée déterminée.
Si le contrat est à durée indéterminée, les parties pourront prévoir d’y mettre fin à tout moment à condition de respecter un délai de préavis suffisant. Il sera donc nécessaire de prévoir dans le contrat les règles de dénonciation ainsi que la durée de préavis raisonnable.
Les parties peuvent également prévoir dans le contrat des causes de résiliation liées à la survenance de certains évènements. C’est le cas, lorsqu’une partie est responsable d’un manquement contractuel par exemple. Le code civil impose néanmoins que les manquements contractuels justifiant une résiliation soient expressément visés par la clause de résiliation.
Les conséquences de la résiliation devront être négociées dans le contrat. C’est en ce sens que la clause de réversibilité a vocation à jouer. La réversibilité intervient lorsque la relation contractuelle cesse et ce quelle qu’en soit la cause. Cette clause a notamment pour objectif de permettre au client de récupérer l’ensemble des données et informations stockées dans la solution SaaS et ce dans les meilleures conditions.
Toutefois, restituer une grosse quantité de données peut s’avérer parfois complexe, voire problématique si le format des données doit être converti. C’est pourquoi, il convient d’organiser scrupuleusement dans le contrat la mise en œuvre de la réversibilité ainsi que son coût. Cette étape est d’autant plus complexe qu’il peut être difficile d’anticiper cette réversibilité au stade de la conclusion du contrat.
Pourquoi se rapprocher d’un expert ?
Les 5 clauses présentées ci-avant ne sont qu’une partie des sujets classiques de négociation contractuelle qu’un prestataire SaaS doit savoir maîtriser afin d’encadrer au mieux sa responsabilité et les risques encourus par lui-même et son client au titre de l’offre SaaS concernée.
Le contrat SaaS doit ainsi être rédigé et ses annexes doivent être négociés et rédigés avec attention afin de garantir votre protection en tant que prestataire ou éditeur SaaS. L’ensemble de cette documentation doit être cohérente.
C’est aussi et surtout un gage de sérieux et de crédibilité aux yeux de vos futurs clients.
Il est en ce sens très important de vous faire accompagner par des spécialistes qui seront à même de vous conseiller au stade de la négociation de votre contrat et de sa rédaction.