Village de la Justice www.village-justice.com

Contrats informatiques SaaS, vigilance ! Par Caroline Sandler-Rosental, Avocat.
Parution : mardi 9 novembre 2021
Adresse de l'article original :
https://www.village-justice.com/articles/contrats-informatiques-saas-vigilance,40714.html
Reproduction interdite sans autorisation de l'auteur.

Le changement de solutions logicielles (CRM, ERP de gestion des achats, de la comptabilité…) est un levier de croissance et de productivité pour les entreprises. Ces projets de transformation digitale constituent aussi une aventure délicate, souvent sujets à dérapages.
Voici quelques points de vigilance et préconisations juridiques découlant de ma pratique d’avocat IT concernant les contrats SaaS.

Les logiciels peuvent être installés sur les serveurs de l’entreprise (on premise) ou hébergés sur les serveurs d’un hébergeur tiers dans le Cloud et accessible sous forme de service via Internet (Software as a Service ou SaaS). Le client se voit alors concéder un droit d’accès à la solution logicielle et bénéficie des services associés d’assistance, de maintenance corrective et évolutive, en contrepartie du paiement d’une redevance.

Bien que constitutifs d’une offre standardisée, les divers modules du logiciel concerné requièrent en général, avant d’être mis en service dans l’entreprise cliente, des prestations de paramétrage, d’interfaçage, voire des développements spécifiques.

Ces prestations projet, d’intégration, constituent alors un préliminaire à la mise en œuvre du SaaS et peuvent durer quelques semaines à plusieurs mois et nécessiter un budget conséquent.

I. En premier lieu, procéder à une analyse préliminaire approfondie afin de bien appréhender.

L’ensemble des parties prenantes et leurs responsabilités respectives : Les acteurs à gérer sont nombreux (entités bénéficiaires du contrat, utilisateurs, éditeur, intégrateur, assistant maîtrise d’ouvrage, assureurs…) et une mobilisation, ainsi qu’une collaboration active, est requise entre divers départements de l’entreprise tels que la DSSI, les métiers/opérations, les Achats, la Direction financière, la Direction Juridique. Un directeur de projet/programme rigoureux favorisera aussi le bon déroulé du projet ainsi que des équipes suffisamment staffées pour répondre aux exigences de ce dernier.

Les enjeux technico-financiers : La mutualisation de la solution permet aux utilisateurs de bénéficier naturellement des évolutions de l’éditeur, qui intègreront notamment des correctifs et/ou des évolutions réglementaires. Un certain nombre de questions se posent sur ce point telles que : est-ce que les versions majeures sont incluses dans l’abonnement, quelle va être la périodicité des évolutions, est-ce que l’installation de ces mises à jour et nouvelles versions va être obligatoire, quel va être l’engagement de maintenance dans le temps pour chaque version ? In fine quel va être le coût prévisible de ces évolutions pour le client en terme de prestations récurrentes et en terme de ressources humaines internes ? Il arrive que la cadence imposée soit lourde pour le client et induise des conséquences dans le temps qui ont été sous-estimées.

Les enjeux sécurité : La rédaction et la communication par le prestataire au client de documents sécurité (PCA, PRA, PAS…) ainsi que des tests réguliers sont fondamentaux pour s’assurer du respect du RGPD et des moyens mis en œuvre afin de lutter contre les risques d’atteintes aux données. Dans le domaine de la santé, il sera obligatoire de faire appel à des hébergeurs agréés ou certifiés (HDS). Il est également recommandé d’étudier la question d’une assurance cybersécurité.

II. En second lieu, veiller à la rédaction et négociation du contrat SaaS, également sur les points suivants :

La responsabilité : Il est recommandé de formaliser clairement qui assure la maîtrise d’œuvre de coordination et la responsabilité du pilotage et de bonne fin du projet et d’établir un tableau relatif aux rôles et responsabilité (RACI). Par ailleurs, il conviendra de veiller attentivement à la gestion de la charge de la preuve en cas de contentieux et aux exonérations et limitations de responsabilité et notamment aux plafonds d’indemnisation. Les ERP notamment sont des solutions souvent stratégiques pour l’entreprise et une défaillance du service peut entrainer un préjudice considérable en termes financiers et d’image.

Les conditions financières : Les rédactions ambiguës, avec un mélange de forfait et d’évaluation des couts en régie favorisent les risques de contestations de factures. Par ailleurs, il arrive fréquemment que dans le feu du projet, soient réalisées des modifications/évolutions sans que le formalisme contractuel soit respecté ou sans discussion en amont des conséquences financières. Enfin, certains couts sont insuffisamment appréhendés, comme ceux découlant des clauses d’audit, de réversibilité, de pénalités.

La propriété intellectuelle : Tout ce qui n’est pas expressément prévu n’existe pas ! Toute concession de droits doit être rédigée précisément : objet sur lequel porte toute cession de droits ou la licence, périmètre du droit d’utilisation, territoire, durée, rémunération…

La conformité à la réglementation relative à la protection des données à caractère personnel : Les offres logicielles font encore insuffisamment mention de la conformité du SaaS au RGPD et à la Loi n°78-17 du 6 janvier 1978 modifiée dite "Loi Informatique et Libertés" et ne permettent pas toujours au client de s’acquitter de ses obligations en tant que responsable de traitement. La garantie de respect de la solution au principe du Privacy by default et au principe du Privacy by design par exemple n’est souvent pas prévue (paramétrage des champs à renseigner pour atteindre la finalité du traitement poursuivie, de la durée de conservation des données…).

La prévention et la résolution des litiges : La négociation du contrat, doit être confiée à un juriste interne ou à un avocat expérimenté en IT, capable de se prononcer et de sécuriser les annexes et non pas seulement le corps du contrat. Par ailleurs, la présence d’une clause de médiation favorisera, en cas de difficultés de communication voire de litige avéré, le recours à une tierce personne en charge de favoriser la résolution amiable des problèmes. Le médiateur peut alors intervenir au cours du projet (médiation de projet) ou en cas de pré-contentieux. Neutre, indépendant, généralement payé par les deux parties, il a en charge d’aider les deux parties à s’entendre.

Il s’agit là d’un certain nombre de points d’attention et de recommandations non exhaustifs. Le contrat SaaS est un contrat pouvant être complexe, selon le volume et la nature des prestations d’intégration requises chez le client et la compréhension et la sécurisation des annexes est aussi importante que le corps du document.

Caroline Sandler-Rosental Avocat au Barreau de Paris Droit de l'Informatique & des Achats Médiateur agréé CMAP [->caroline.sandler@rscavocat.com] http://www.rscavocat.com