Software as a service : quels risques juridiques ? Par Emmanuel Adda, Responsable Juridique

Les contrats « Software as a Service » ou « Saas » se rencontrent de plus en plus souvent dans l’industrie informatique. Grâce au Saas les entreprises peuvent utiliser de manière évolutive des applications logicielles sans avoir à supporter des coûts de licences et de maintenance applicative parfois assez élevés, l’achat et la maintenance des serveurs. Les applications logicielles et les données de l’entreprise ne sont plus installées et hébergées sur les serveurs de l’entreprise, mais sur ceux du fournisseur de services informatiques. Les utilisateurs de l’entreprise accèdent aux logiciels et aux données par un protocole web via une interface d’accès distant de type Citrix.

La négociation et la rédaction de ce contrat devra être attentive pour l’entreprise qui souhaite passer au mode Saas car contrairement aux apparences, nous verrons que les risques juridiques (confidentialité, protection des données personnelles, continuité de service) ne sont pas négligeables.

1. Données de l’entreprise : perte de contrôle et confidentialité

Le principal inconvénient du Saas est la perte de contrôle sur les données de l’entreprise qu’il implique, puisque les données de l’entreprise sont hébergées sur les serveurs du fournisseur. Il faudra alors s’assurer que le fournisseur présente des garanties de sérieux suffisantes en l’auditant bien avant la signature du contrat. Dans le même sens, on pensera à inclure dans le contrat Saas lui-même une clause d’audit technique qui permettra à l’entreprise de vérifier que le fournisseur de services se conforme aux référentiels techniques et sécurité nécessaires tout au long de la durée de la relation contractuelle. Cet audit devrait pouvoir être renouvelé autant de fois que nécessaire, mais les coûts de l’audit devront être négociés.

On insistera aussi dans le contrat Saas sur une clause de confidentialité renforcée avec, si possible, une clause pénale qui viendra indemniser l’entreprise en cas de perte de données.

Enfin, on vérifiera si le fournisseur de services informatiques sous-traite certaines de ses obligations et lesquelles ; au quel cas on se donnera la possibilité d’agréer ou pas les sous-traitants extérieurs.

2. Protection des données personnelles : flux de donnés sous contrôle

Avant d’envisager de passer au Saas, la DSI et la direction juridique de l’entreprise se demanderont si les données hébergées par le fournisseur sont des données à caractère personnel au sens de la loi 78-17 dite « informatique et libertés ». Par exemple, pour la mise en œuvre d’une application CRM en mode Saas, le fichier clients de l’entreprise sera hébergé par le fournisseur de service, mais encore faut-il savoir où ! Si les serveurs du fournisseur de l’application CRM sont situés hors du territoire de l’UE 27 (par exemple en Inde), il faudra s’assurer que le fournisseur est bien autorisé à exporter les données hors du territoire de l’UE 27. Ceci est d’autant plus important que dans ce cadre, le fournisseur agira comme sous-traitant, c’est-à-dire sur instruction de l’entreprise responsable principale du traitement. On prendra donc soin de revoir les clauses d’allocation de responsabilité en cas d’infraction à la loi Informatique et Libertés.

3. Continuité de service et réversibilité : de l’importance du SLA

L’entreprise qui perd le contrôle de ses applications logiciels et de ses données doit s’assurer qu’elle pourra à tout moment y accéder ou se les réapproprier. L’entreprise négociera donc une disponibilité de service optimum, c’est-à-dire une bande passante suffisante pour assurer un flux rapide et continu des données. Pour que l’obligation de moyen du fournisseur soit sanctionnée contractuellement, on pourra aussi négocier dans le cadre du SLA des pénalités en cas de baisse de service, voir une résiliation automatique du contrat Saas en cas de baisse de service critique pour le fonctionnement de l’entreprise.

L’expiration ou la résiliation du contrat devra s’accompagner d’un plan de réversibilité selon lequel le fournisseur transmettra à l’entreprise toutes les données et informations nécessaires à une reprise de service par un autre prestataire ou par l’entreprise elle-même.

Emmanuel Adda

Responsable Juridique