Services SaaS : comment rédiger son contrat ?

Maitre Céline Barbosa, avocate du cabinet IncentAct, détaille les précautions à prendre et les points essentiels à surveiller dans la cadre de la signature d’un contrat de services SaaS.

Silicon – Quelles sont les bonnes questions à se poser face à un prestataire SaaS ?

Céline Barbosa –   Il y a quelques questions essentielles à se poser : quelles sont vos pratiques ?  Quels sont vos engagements clients ? Quelle est votre politique en matière de sécurité ?
Tout d’abord, la bonne pratique commence par l’analyse de son processus d’acquisition de la solution. il faut éviter de scinder la phase de discussion technique et la phase de réception du contrat.

Pourquoi ?
Céline BarbosaLe contrat n’est jamais présenté immédiatement par le prestataire, ce qui affaiblit la position de l’acheteur. Si l’acheteur est le DSI, il doit avoir les compétences ou s’associer les compétences d’un acheteur afin de bien appréhender le prestataire pendant cette phase de discussion. Celle ci  doit porter à la fois sur les besoins exprimés par des utilisateurs potentiels en interne et sur les contraintes techniques qu’il connaît.

 Sous-entendez-vous qu’il y a parfois contradiction entre le contrat (rédigé en anglais) et le cahier des charges ?
Céline BarbosaOui, justement. D’un côté, il s’agit de l’expression du besoin utilisateur, de la réponse en termes de solutions (l’offre) ; puis de l’autre côté, d’un contrat qui ne reprend pas la rencontre des deux positions, c’est à dire le contexte du projet et des garde-fous de l’acheteur.

 Comment l’éviter ?
Céline BarbosaIl faut signer un pré-accord (3 pages) avec les pré-requis et les conséquences que vous souhaitez y associer en tant qu’acheteur. Par exemple, les points suivants pourront être essentiels aux yeux de l’entreprise : l’environnement, l’hébergement, le non-transfert des données, la sécurité des données, la réversibilité, l’autorisation ou pas d’utiliser des données brutes anonymisées pour des statistiques ou pour les revendre…
Ce pré-accord doit être signé avant la remise du cahier des charges ou concomitamment.

Mais il y a un pré-requis : cela implique d’avoir une bonne connaissance de son environnement contractuel interne/externe, des besoins internes des utilisateurs, des autres prestations SaaS utilisées et de bien savoir d’où vient le danger pour l’entreprise (utilisateur/prestataire). Tous les environnements d’entreprise ne nécessitent pas le même niveau de sécurité.

L’ objectif clef , c’est d’éviter une négociation technique en pensant que le prestataire va s’aligner sur les demandes en fin de négociation et éviter de mettre le service juridique face à une affaire déjà presque conclue, alors que les éléments structurant la mitigation du risque n’ont pas été négociés.

Le DSI vérifie surtout la disponibilité du service, la sécurité des données et le prix à l’usage.
A quelles clauses doit-il faire particulièrement attention dans un contrat SaaS standard ?
Céline Barbosa Les clauses devront répondre aux objectifs qui sont ceux de l’entreprise. C’est le cas de la continuité du service en termes de SLA, cession/fermeture d’un site et ouverture d’autres sites géographiques), la possibilité de ré-internaliser selon la politique de la société rapidement ou pas, les pertes de données, les formats, la protection/sécurité des données et la réversibilité.

La clause de réversibilité prévoit-elle les conditions d’une reprise des services en interne ? La bascule rapide chez un tiers, concurrent de l’éditeur SaaS, est-elle envisageable ?
Céline Barbosa Oui mais selon son appréciation de la rapidité, il faut l’écrire. Le droit (la loi) n’intervient pas sur les modalités de mise en oeuvre.

Comment anticiper la sortie du contrat SaaS, sans mettre en danger l’activité des métiers ? Doit-on prévoir le pire, comme le divorce dans un contrat de mariage US ?
Céline BarbosaIl faut prévoir tous les cas possibles : c’est une bonne cartographie qui permet un bon pilotage des risques et des échéances. Mais aussi les cas de la vie de la société  comme un scénario de restructuration ou de fermeture.

Peut-on s’affranchir d’une hausse soudaine des tarifs d’abonnement dans le temps ? Comment éviter de signer un chèque en blanc aux éditeurs SaaS ?
Céline Barbosa Comme dans tous contrats, il faut établir les bases de l’économie du contrat, limiter les cas de hausse de prix, notamment en répondant aux questions suivantes :
> quel nombre d’utilisateurs actuels connus – et à venir dans les x années ?
> quelle plage de variation à la hausse ou à la baisse
> le nombre de sites concernés
> le maintien des conditions tarifaire dans le temps : garantie en cas de cession d’une partie de l’entreprise
> la possibilité lorsqu’un site est fermé de reporter le nombre d’utilisateurs sur un autre site
> Placer le DSI au cœur de la connaissance de la stratégie de l’entreprise pour anticiper les modifications de la vie sociétale.

Il faut que le DSI décide de la propriété des fonctionnalités supplémentaires qu’il a pu demandées. Par exemple, dans le domaine de la défense il peut être opportun d’adresser cette demande.

En parallèle, au-delà de la solution, il faut connaître son prestataire, (société ou ensemble de consultants indépendants) les moyens dont il dispose pour assurer ce fonctionnement contractuel, sa souplesse, son appartenance à un groupe dont la politique ne conviendrait pas aux objectifs poursuivis. Demandez sa politique en matière de sécurité/data.

L’externalisation des données et des traitements implique-t-elle systématiquement un partage de responsabilités ? En cas de fuite / perte de données sensibles notamment ?
Céline BarbosaTout dépend du type de responsabilité abordée (administrative, contractuelle, pénale) Face à la CNIL, plusieurs entités peuvent être potentiellement dans le collimateur de la CNIL.. La répartition des responsabilités, si elle est retenue, sera appréciée par la CNIL. Entre les parties, les règles doivent être fixées au contrat.
En interne, DSI, ayant la connaissance technique, il doit informer sa Direction, assurer la transcription des contraintes auprès de sa direction car une solution technique couplée à d’autres ou à des habitudes d’utilisation par les employés peut mener à d’autres risques.
Il peut ressentir le besoin de cette transcription et ne pas savoir à qui s’adresser. Il faut l’aider à piloter le risque, afin que sa cartographie des risques puisse faire l’objet d’actions de sensibilisation, de transcription dans la charte informatique/règlement intérieur/ contrats de travail. Le DSI peut voir sa responsabilité engagée.

Quid de la protection des données externalisées face aux menaces de cybersécurité ? Vis-à-vis de la conformité RGPD ? L’emplacement des sauvegardes / réplications doit-il être précisé ?
Céline Barbosa Oui, pour l’hébergement, l’emplacement des sauvegardes. > Oui pour la réplication. Ne pas savoir répondre à ces questions expose le DSI (sa responsabilité vis-à-vis de l’entreprise) ainsi que l’entreprise face à la question de la sécurisation des données. Il faut se placer du point de vue du contrôleur (CNIL) qui pourrait en déduire que toutes les mesures techniques et organisationnelles n’ont pas été prises.

L’extra-territorialité du droit US inquiète-t-elle les métiers / et clients du SaaS ?
Céline BarbosaElle ne devrait pas les inquiéter.  Deux sujets pourraient faire l’objet de plus longs développements : l’extra-territorialité et la surveillance des entreprises.
L’extraterritorialité des droits ne s’entend pas sans infraction. La France est elle-même dotée de loi extra-territoriales (Sapin2). Les entreprises devraient organiser une veille du marché dans lequel elles évoluent, à la fois pour éviter un pillage de l’information et promouvoir une meilleure connaissance des interlocuteurs.

Face aux géants du Cloud, la marge de négociation du contrat SaaS est-elle plus étroite ?
Céline Barbosa Oui, mais le levier pour négocier consiste à vérifier ses objectifs, à connaître les limites de ses actions.

Pour éviter un bras de fer juridique inégal en cas de problème, doit-on choisir des prestataires SaaS de taille comparable à celle de l’entreprise ?
Céline BarbosaOui, pourquoi pas mais cela suppose de tenir une autre analyse de risques : Vérifiez la maîtrise du personnel/consultant. Privilégiez la proximité, la localisation en Europe des données.

Comment obtenir plus de transparence de la part des prestataires SaaS, en termes de métriques de disponibilité, d’incidents techniques, de bugs restant à résoudre, etc. ?
Céline BarbosaIl faut l’écrire dans le contrat et assurer un contract management des indicateurs rédigés au contrat. La sanction doit pouvoir être facilement actionnée passée la plage des garanties souscrites par le prestataire.