Vous êtes éditeur et vous souhaitez commercialiser auprès des entreprises votre solution « Software-as-a-Service » (SaaS) ?
Pour cela, vous allez peut-être devoir répondre à des appels d’offres et de fait, consolider une documentation à vocation contractuelle spécifique permettant de satisfaire aux attentes de vos clients et prospects.
Les exigences des entreprises clientes en la matière ont évolué et sont de plus en plus importantes, notamment lorsque l’on s’adresse à des grands groupes.
Pour vous aider, Maître Benjamin Znaty détaille pour vous quelques uns des documents incontournables à pouvoir présenter à son client pour un éditeur SaaS.
Les conditions générales de la solution SaaS
Pour pouvoir déployer et utiliser votre solution au sein de son entreprise, votre client va le plus souvent souscrire un abonnement.
Des conditions générales sont donc indispensables pour définir les modalités contractuelles de cet abonnement au regard notamment de la durée d’engagement et des conditions de résiliation/renouvellement mais également au regard du prix et des conditions de paiement, souvent fonction du nombre d’utilisateurs ou du type d’utilisation.
Ces conditions générales vont le plus souvent faire office de “contrat SaaS”. Il est donc indispensable qu’elles présentent également certaines clauses juridiques indispensables telles que notamment les clauses encadrant votre propriété intellectuelle et responsabilité contractuelle.
Par exemple, les conditions générales pourront préciser que le logiciel doit être utilisé dans la limite du nombre d’utilisateurs permis par l’éditeur ou encore que l’éditeur ne sera pas responsable en cas de défaillance du matériel utilisé par le client pour exploiter la solution, notamment le matériel permettant au client de se connecter à internet et accéder à la solution.
Service Level Agreement (SLA)
Le “SLA” ou “accord de niveau de service” en français a vocation à définir, comme son nom l’indique, le niveau de service que vous offrez à vos clients. Le logiciel SaaS impliquant une nécessaire dépendance du client vis à vis de l’éditeur, il est important pour les clients de connaître les engagements pris par l’éditeur en cas de défaillance ou inaccessibilité du logiciel SaaS. C’est tout l’objet du SLA.
Ce document devient indispensable et sera systématiquement exigé lorsque votre client est dépendant de votre solution pour exercer une fonction critique de son activité.
Dès lors, il est important de bien définir au sein de votre SLA les engagements pris au niveau de la disponibilité, de la qualité et de la performance de votre solution mais également au titre de la maintenance et du support. Il est bien sûr nécessaire de prendre des engagements que vous êtes susceptible d’honorer et représentatifs de vos capacités opérationnelles.
Ce document permettra généralement à votre client de connaître le taux de disponibilité de votre solution ou encore les mesures prises en terme d’intervention et de résolution des bugs et incidents.
Le SLA est particulièrement apprécié lors d’un appel d’offres car il « rassure » votre futur client sur les capacités de votre entreprise à mettre à disposition un logiciel qui sera bien accessible et disponible à tout moment, y compris dans les moments les plus critiques. C’est pourquoi ce document doit être suffisamment détaillé afin de refléter parfaitement les niveaux de services proposés aux clients.
Données personnelles : Politique de confidentialité et DPA
L’utilisation d’un logiciel SaaS implique nécessairement la collecte de certaines données personnelles via la solution et à ce titre, en votre qualité d’éditeur SaaS, vous êtes tenu légalement d’être en conformité avec la réglementation européenne.
Selon le RGPD, l’éditeur SaaS est soit un responsable de traitement, soit un sous-traitant
Vous serez considéré comme responsable de traitement au regard notamment des données personnelles collectées au titre de l’identification et de la connexion des utilisateurs au logiciel. Ainsi, vous devrez établir une politique de confidentialité afin d’informer les utilisateurs de votre solution de la façon dont leurs données personnelles seront traitées et hébergées.
Par ailleurs, vous serez également sous-traitant si votre client traite et collecte lui-même des données personnelles via votre logiciel, par exemple sur ses employés ou propres clients. Il sera ainsi le responsable de traitement et vous serez sous-traitant car vous traitez les données pour son compte.
À ce titre, vous êtes tenus en application du RGPD d’annexer à votre contrat SaaS un « data processing agreement » (DPA), c’est-à-dire un contrat de sous-traitance des données personnelles devant contenir un certain nombre de clauses obligatoires.
Ces documents sont indispensables et seront systématiquement exigés (voir imposés par vos clients selon leurs propres modèles), dans la mesure ou vos clients peuvent être eux mêmes responsables vis à vis de leurs utilisateurs ou de la CNIL en cas de non conformité de votre solution SaaS au RGPD ou en cas de fuite de données.
Enfin, le RGPD impose également de détailler au sein de ces documents les mesures de sécurité prises au titre du traitement des données personnelles, ce qui sera le plus souvent matérialisé par une politique de sécurité.
Politique et mesures de sécurité
Lorsqu’un client utilise une solution SaaS, il va souvent y stocker, outre les données personnelles, des données et informations, parfois très sensibles, sur son entreprise.
Ainsi, l’information de vos clients sur les mesures de sécurité accompagnant votre offre constitue la encore un prérequis indispensable à sa commercialisation et impliquant l’élaboration d’une politique de sécurité.
La politique de sécurité vient détailler les mesures techniques et organisationnelles que vous mettez en place afin de garantir une utilisation sécurisée de votre logiciel à vos clients. Ce document décrit notamment les mesures techniques de sécurité mises en place (parefeux, antivirus), les processus de chiffrement/cryptage des données ou encore les procédures de gestion des attaques informatiques.
Cette politique de sécurité vous permettra également de répondre le cas échéant au plan d’assurance sécurité du client (PAS) communiqué le plus souvent au sein de l’appel d’offres. Le PAS est un document préparé par le client contenant l’ensemble de ses exigences de sécurité et devant être rempli par le prestataire.
En tant que prestataire ou éditeur, il est par ailleurs vivement conseillé de souscrire à une assurance intégrant une couverture cyber-sécurité, ce qui constitue en soi une garantie additionnelle de sécurité vis à vis de vos clients.
Le plan de continuité d’activité (PCA)
À côté de la politique de sécurité, certains clients auront par ailleurs le souhait de connaître les mesures de continuité et de résilience opérationnelle prises par l’éditeur en cas de crise. Ces mesures seront le plus souvent exposées au sein du plan de continuité d’activité de l’éditeur.
Le PCA est un document de nature technique et organisationnelle destiné à anticiper une période de crise telle qu’une panne de réseau, un piratage ou toute autre affectation interne ou externe du service.
Le PCA a donc pour objectif d’organiser la continuité de votre activité et ainsi, permettre à vos clients d’être, de manière similaire au SLA, confortés sur leur capacité d’utilisation de votre logiciel en cas de perturbation.
Ce document doit donc mettre en place des procédures particulières afin de répondre à la gestion de la crise. Par exemple, dans l’hypothèse d’une pandémie (comme nous l’avons connu avec la Covid-19), comment votre organisation interne va s’adapter pour fournir la même disponibilité du logiciel à vos clients ? Comment l’assistance technique va-t-elle être assurée ?
Pour élaborer le PCA, il est nécessaire d’appréhender plusieurs scénarios « catastrophe » pour adapter et tester les différentes procédures de gestion de crise afin d’en garantir leur efficacité le cas échéant.
Si le PCA est bien un document incontournable, il dévoile néanmoins des informations stratégiques et sensibles sur votre organisation. Ainsi, il est recommandé ne pas non plus tout dévoiler de votre PCA à votre client, au risque de vous exposer en cas de fuite de ce document au public. Un simple résumé ou une version “allégée” du PCA est parfois suffisante pour répondre aux demandes d’information du client.
La documentation technique d’utilisation du logiciel
Enfin, pour permettre aux clients de configurer et utiliser convenablement votre logiciel, une documentation technique d’utilisation devra le plus souvent être fourni.
Cette documentation correspond en quelque sorte à la notice d’utilisation du logiciel SaaS afin que client puisse prendre en main le logiciel et exploiter de manière efficace son utilisation.
D’un point de vue contractuel, cette documentation peut avoir un rôle important et cadrer notamment les garanties prises par l’éditeur vis-à-vis de son client. Ainsi, il est très fréquent pour un éditeur de garantir au sein de ses conditions générales que le logiciel fonctionne en conformité avec sa documentation.
La documentation a donc également son importance lors d’une phase d’appel d’offres, dans la mesure où elle sera le plus souvent le seul document permettant au client d’apprécier de manière opérationnelle le descriptif des fonctionnalités offerts par le logiciel.
Le client pourra même parfois exiger que cette documentation soit annexée au contrat afin que le périmètre fonctionnel et les garanties associées soient “figés” contractuellement. Pour un éditeur, il est toutefois préférable que la documentation soit disponible en ligne, et ce afin de pouvoir la modifier dans le temps, ce que les clients comprennent de mieux en mieux dans le cadre d’une offre en SaaS qui est par nature évolutive.
L’importance de se faire accompagner
L’ensemble des documents évoqués ci-dessus sont très spécifiques et techniques. Ils doivent être rédigés avec attention, en impliquant de préférence l’ensemble des acteurs concernés (opérationnels, experts techniques, commerciaux, juristes/avocats) afin d’optimiser votre protection.
Il est important également de s’assurer de la cohérence de l’ensemble des documents afin de limiter vos engagements et ne pas risquer de voir votre responsabilité engagée en cas de contradiction entre ces documents.
Ces documents sont enfin un gage de qualité et de sérieux de l’offre que vous proposez à vos clients. Il est donc important de vous faire conseiller par un spécialiste de la question qui sera le plus à même de vous accompagner pour leur rédaction.