CGV pour une startup SaaS : ce que la loi vous impose en 2026

En 2026, vos CGV SaaS ne sont plus une option : l’essentiel du cadre légal

Depuis l’application du Data Act en septembre 2025 et l’entrée en vigueur de la loi SREN en 2024, les CGV d’une startup SaaS doivent intégrer des exigences renforcées sur la portabilité des données, la transparence tarifaire et la sécurité, en plus du RGPD et, le cas échéant, du Règlement IA (AI Act). À défaut, vous vous exposez à des sanctions administratives (DGCCRF) et à des contentieux pour clauses abusives.

• Data Act (applicable depuis 09/2025) : portabilité des données, interdiction des verrouillages contractuels abusifs, cloud switching facilité, plafonnement puis suppression progressive de certains frais de sortie (EUR-Lex; analyse de mise en œuvre pour le SaaS : MDP Data).
• Loi SREN (21 mai 2024) : obligations de transparence tarifaire et mesures favorisant l’interopérabilité et le changement de fournisseur dans le cloud (economie.gouv.fr).
• RGPD : si vous traitez des données personnelles, vos CGV (ou une annexe DPA) doivent préciser rôles, finalités, types de données, mesures de sécurité et modalités de sous-traitance (CNIL).
• AI Act : si votre SaaS intègre de l’IA, des obligations de transparence et de documentation s’appliquent selon le niveau de risque (EUR-Lex).
• Information précontractuelle et CGV en ligne : mentions obligatoires pour la vente de services numériques, droit de rétractation consommateur et modalités de conclusion à distance (Service Public Pro).

En B2B, la communication de vos conditions de vente est par ailleurs encadrée par le Code de commerce (art. L441-1) (Legifrance).

Mentions et clauses désormais indispensables dans vos CGV SaaS

1) Objet, périmètre et conditions d’usage

• Définir précisément le service (modules, API, stockage, limites de volumes/utilisateurs).
• Spécifier les exclusions (versions bêta, environnements sandbox, intégrations tierces).
• Encadrer l’usage autorisé (licence, respect des lois, interdictions techniques, usage équitable).

Pour approfondir la rédaction opérationnelle des clauses fonctionnelles, voyez notre guide sur le contrat SaaS et les clauses essentielles.

2) Prix, facturation, indexation et évolution

• Affichage clair du prix (HT/TTC selon public), de la périodicité et des frais additionnels (ex. surconsommation, migrations, support premium).
• Modalités d’indexation et d’ajustement des tarifs (indice de référence, préavis).
• En B2C, transparence renforcée et information sur le droit de rétractation (ou son exception pour services numériques commencés avec accord exprès) selon Service Public Pro.

3) Niveaux de service (SLA), maintenance et support

• Objectifs de disponibilité (% uptime par mois), fenêtres de maintenance et service credits.
• Support (horaires, canaux, délais de réponse) et traitement des incidents.

4) Sécurité, confidentialité et RGPD

Au-delà d’une clause générale, prévoyez une annexe Sécurité décrivant les mesures techniques et organisationnelles (chiffrement au repos/en transit, gestion des accès, journalisation, sauvegardes, PRA/PCA, tests de pénétration). La CNIL rappelle les exigences de sécurité et de gouvernance des sous-traitants (CNIL).

Si vous agissez comme sous-traitant au sens du RGPD, votre accord de traitement (DPA) doit respecter l’art. 28 (rôles, finalités, catégories de données et personnes, durées, mesures de sécurité, recours à des sous-traitants ultérieurs, assistance et notification des violations, réversibilité/suppression des données). Intégrez-le en annexe des CGV. Pour les transferts hors UE, mentionnez l’usage de CCT et vos garanties (voir notre guide transferts de données hors UE et CCT post‑Schrems II).

5) Portabilité, réversibilité et Data Act

• Prévoir un processus de réversibilité documenté : formats d’export structurés, courants, interopérables, délais, assistance, effacement à l’issue.
• Interdire toute clause verrouillant l’extraction ou le changement de fournisseur. Le Data Act prohibe les obstacles contractuels/techniques au switching et organise une réduction puis suppression progressive de certains frais de sortie (EUR-Lex; voir aussi l’analyse MDP Data).

La loi SREN complète cette dynamique en renforçant la transparence tarifaire et l’interopérabilité dans le cloud en France (economie.gouv.fr).

6) Propriété intellectuelle et contenus

• Réaffirmez la titularité du code et des marques par l’éditeur, et la licence d’usage concédée au client.
• Encadrez la licence sur les contenus importés par l’utilisateur (hébergement, traitement), et les restrictions (contenus illicites, droits des tiers).

7) Responsabilité et assurances

• Limitation de responsabilité : plafonds raisonnables, exclusions ciblées mais sans priver l’obligation essentielle ni exclure le dol/faute lourde. Voir nos bonnes pratiques sur la clause de limitation de responsabilité.
• Exclusions usuelles (perte de profits indirects), force majeure, et garantie de conformité du service à la documentation.

8) Durée, résiliation et renouvellement

• Termes d’engagement, préavis, résiliation pour manquement et effets (réversibilité, effacement des données, facturation au prorata).
• Automatisation et information claire des renouvellements d’abonnement (exigences renforcées en B2C selon Service Public Pro).

9) Évolutions du service et des CGV

• Process de mise à jour avec préavis, droits de refus/résiliation sans frais abusifs en cas de modification substantielle.
• Traçabilité de l’acceptation (clickwrap), conservation des journaux et valeur probante.

Pour un tour d’horizon des clauses opérationnelles côté produit, lisez aussi notre focus sur les clauses indispensables des CGV SaaS.

Si votre SaaS intègre de l’IA : mentions spécifiques en 2026

Le Règlement IA impose des obligations de transparence et de documentation (notamment pour les systèmes à risque). Dans vos CGV/annexes :

• Informer de l’usage d’IA dans certaines fonctionnalités, ses limites (erreurs possibles), les jeux de données utilisés et les droits de l’utilisateur.
• Préciser les journaux, évaluations de risques et mécanismes de retours utilisateurs.
• Encadrer la responsabilité liée aux suggestions générées par IA et les exclusions appropriées.

Pour cadrer vos équipes, voyez notre guide AI Act pour startups et, côté RGPD, notre synthèse RGPD et intelligence artificielle. Pour le texte et son suivi législatif, référez-vous à EUR-Lex.

Plan type de CGV SaaS 2026 (structure conseillée)

1. Objet du contrat et définitions
2. Description du service (périmètre, SLA, support)
3. Conditions d’utilisation et restrictions
4. Prix, facturation, indexation et frais additionnels
5. Durée, renouvellement, résiliation (effets, réversibilité)
6. Propriété intellectuelle et licences
7. Confidentialité, sécurité (annexe Sécurité)
8. Protection des données (annexe DPA RGPD)
9. Portabilité et réversibilité (conformes Data Act)
10. Responsabilité et garanties, assurances
11. Évolution du service et des CGV (préavis, notification)
12. Droit applicable, règlement des litiges (clause attributive de compétence le cas échéant)

Sur le volet litiges et anticipation procédurale, voyez notre dossier sur la clause attributive de compétence.

Méthode de mise en conformité en 30 jours

1. Cartographier fonctionnalités, données traitées, intégrations tierces.
2. Aligner votre DPA (art. 28 RGPD) avec une annexe Sécurité détaillée (mesures TOM, journalisation, PRA/PCA).
3. Écrire une clause de réversibilité/portabilité conforme Data Act (formats, délais, assistance, frais plafonnés).
4. Clarifier prix, indexation, frais de sortie/migration, avec transparence SREN.
5. Mettre à jour SLA et gestion d’incidents (notification, délais, crédits).
6. Encadrer l’IA (transparence, limites, logs) si applicable.
7. Durcir la clause de responsabilité dans les limites légales et vérifier les exclusions.
8. Preuve de l’acceptation (clickwrap), conservation des versions, et registre RGPD à jour.

Erreurs fréquentes et risques

• Absence de réversibilité opérationnelle : contraire au Data Act et source de litiges de sortie (EUR-Lex).
• Frais de sortie opaques ou disproportionnés : risque au regard du Data Act et des exigences de transparence SREN (economie.gouv.fr).
• DPA lacunaire (art. 28 RGPD) : non‑conformité et risques de sanction par l’autorité de contrôle (CNIL).
• CGV incomplètes en e‑commerce (B2C) : manquement aux règles d’information, droit de rétractation, etc. (Service Public Pro).
• Défaut de communication des conditions de vente en B2B : risque d’amende administrative (art. L441‑1 C. com., Legifrance; contrôle DGCCRF sur economie.gouv.fr).

Pour un panorama de fond des enjeux contractuels côté éditeur, voyez aussi l’analyse cabinet sur les clauses essentielles d’un contrat SaaS.

FAQ express

Les CGV sont-elles obligatoires en B2B ?

Oui : vous devez pouvoir communiquer vos conditions de vente à tout acheteur professionnel qui en fait la demande (C. com., L441‑1). En ligne, publiez-les et faites-les accepter.

Comment rédiger la clause de portabilité ?

Prévoyez les formats d’export, les délais, l’assistance, l’effacement en fin de contrat et des frais transparents et plafonnés, en conformité avec le Data Act.

Peut-on exclure toute responsabilité ?

Non. Évitez les clauses vidant l’obligation essentielle. Prévoyez plutôt un plafond et des exclusions ciblées, sans couvrir le dol ou la faute lourde.

Pour industrialiser votre conformité (versions, signature, preuve), voyez nos conseils pratiques sur la signature électronique et la validité juridique et notre guide d’automatisation contractuelle.