SaaS: qu’est-ce que c’est et quels sont les pièges à éviter ?

Qu’est-ce que le SaaS ?

SaaS est l’abréviation de Software-as-a-Service, où le logiciel n’est pas proposé comme un produit physique mais comme un service en ligne dans le cloud. En tant qu’utilisateur de SaaS, vous ne deviendrez donc pas propriétaire du logiciel, mais vous aurez accès au service dans le cloud. Par exemple, les systèmes ERP et CRM, ainsi que les progiciels financiers, sont aujourd’hui souvent proposés en format SaaS.

Le logiciel reste en possession et sous la gestion du fournisseur, qui s’occupe notamment de la résolution des bugs et de la mise en oeuvre des mises à jour. Outre l’avantage de n’avoir à se soucier de rien, le SaaS présente toutefois des obstacles juridiques, compte tenu de la grande dépendance vis-à-vis du fournisseur. En particulier pour les applications critiques d’une entreprise, des accords contractuels solides doivent être conclus entre les parties.

Level Services

Pour garantir la continuité des services cloud, il est important de prévoir des garanties contractuelles suffisantes. Dans ce contexte, le contrat portant sur le niveau de service fourni (« Service Level Agreement » ou « SLA ») est un outil crucial pour contrôler objectivement la qualité du service souscrit. Cela peut se faire au moyen de « niveaux de services » (« Levels Services ») qui, entre autres, définissent et rendent mesurable le taux de disponibilité du service. Outre la détermination de la garantie de disponibilité, la manière dont elle doit être mesurée et les exceptions applicables (comme la maintenance planifiée) sont essentielles pour éviter les contestations. De même, il est préférable que les accords relatifs aux mesures préventives (telles que les contrôles et les back-ups) et aux mesures correctives soient clairement définis dans un contrat, y compris les délais de réparation et/ou d’intervention en fonction de l’ampleur du problème. Les parties peuvent associer le non-respect de ces Levels Service à l’octroi de crédits de service, qui peuvent, par exemple, prendre la forme d’une réduction sur l’abonnement mensuel.

Données personnelles

Que peut faire le fournisseur SaaS avec les données du cloud ? Que faire en cas de violation des données ? Le RGPD est également une préoccupation très discutée en ce qui concerne les contrats SaaS. Avec le SaaS, la sécurité des données à caractère personnel, le lieu de traitement et le risque de fuite de données doivent, dans tous les cas, être encadrés. Idéalement, une convention de traitement de données devrait également être conclue entre les parties, étant donné que le traitement des données à caractère personnel est externalisé auprès du fournisseur SaaS. Il est important ici de savoir (i) si les données à caractère personnel sont hébergées sur des serveurs tiers, et (ii) où sont localisés ces serveurs. Si les données à caractère personnel sont hébergées en dehors de l’Espace Economique Européen, des mesures supplémentaires sont requises sur base du RGPD. Par exemple, l’utilisation de services tels que Mailchimp et Google Analytics fait actuellement l’objet d’un examen minutieux en Europe, car le recours à ces fournisseurs américains de services cloud peut entraîner le transfert illégal de données à caractère personnel vers les États-Unis (depuis l’affaire Schrems-II).

Nature de l’obligation

Il est également important d’accorder une attention particulière à la description des services : les obligations du fournisseur sont-elles qualifiées d’obligation de résultat ou d’obligation de moyen ? Des termes ambigus sont souvent utilisés dans les contrats et vous serez souvent confronté à une obligation de moyen. Dans les contrats d’inspiration anglo-saxonne, les concepts pertinents tels que « best efforts » et « (commercially) reasonable efforts » ne sont souvent pas définis, ce qui rend la détermination de la qualification exacte de l’obligation difficile. Comme l’utilisation du terme « raisonnable » laisse souvent place à l’interprétation, il est conseillé de se référer aux normes du secteur comme point de référence.

Souvent, le fournisseur stipule que le service sera fourni « tel quel » (« as is »), c’est-à-dire dans l’état dans lequel il se trouve. Une telle clause ne doit évidemment pas porter atteinte au contrat, ce qui est le cas lorsqu’il s’agit d’une exonération d’une obligation essentielle du contrat.

Conclusion

Il est crucial de parvenir à des accords contractuels équilibrés entre les parties afin de profiter des nombreux avantages du SaaS. Afin d’évaluer les implications contractuelles, examinez les implications techniques et pratiques de votre collaboration, et prévoyez les garanties juridiques nécessaires.