Clause d’hébergement des données dans un contrat SaaS : que négocier

Date de publication : 30 mars 2026

Dans un contrat SaaS, la clause d’hébergement des données est l’un des rares leviers qui vous permet de cadrer à la fois la conformité (RGPD), la souveraineté (résidence des données), la sécurité opérationnelle (sauvegardes, PRA/PCA), et la sortie du service (réversibilité/portabilité). En 2026, elle doit intégrer le RGPD, le Data Act (UE 2023/2854) et, en France, tenir compte du cadre national renforcé par la loi SREN n° 2024‑449. Voici une méthode concrète pour négocier sans angles morts.

1) Pourquoi la clause d’hébergement est stratégique en 2026

• Risque d’extraterritorialité : l’hébergement hors UE peut exposer vos données à des lois étrangères (type CLOUD Act), complexifiant le respect des articles 44 à 50 du RGPD sur les transferts internationaux (RGPD).
• Sortie et portabilité : le Data Act impose de réelles capacités de switching entre services cloud/SaaS et limite les frais de sortie indus (UE 2023/2854).
• Exigences de sécurité : chiffrement, sauvegardes, traçabilité, audits. La CNIL a publié des recommandations utiles pour l’achat de services cloud (CNIL – Recommandations Cloud).
• Responsabilités juridiques : qualification précise des rôles (responsable de traitement/sous‑traitant) et accord de sous-traitance RGPD conforme art. 28.

2) Le cadre juridique à intégrer dans la clause

RGPD : art. 28 (sous-traitance) et 44‑50 (transferts)

Le RGPD exige un Data Processing Agreement (DPA) détaillant les instructions documentées, mesures de sécurité et gestion des sous‑traitants, ainsi que des garanties pour tout transfert hors UE (RGPD). La CNIL rappelle aussi les bonnes pratiques de sélection et de contrôle des prestataires cloud (CNIL).

Data Act (UE 2023/2854)

Applicable aux services de traitement de données (cloud/SaaS), il impose l’absence d’obstacles au switching, l’assistance au transfert, des formats ouverts et des frais de sortie proportionnés et non abusifs, avec une trajectoire de réduction prévue par le règlement (EUR‑Lex).

Loi SREN (France)

La loi n° 2024‑449 du 21 mai 2024 renforce le cadre de la sécurité et de la régulation du numérique en France. Sans se substituer au RGPD ou au Data Act, elle complète l’écosystème national et peut influer sur les obligations des acteurs de l’hébergement et du cloud. Référez‑vous au texte sur Legifrance.

Guides et doctrine utiles

• CNIL : recommandations aux acheteurs de services cloud (PDF).
• Analyses de place : Fidal – Contrat SaaS : clauses essentielles, Initial Legal – Clauses SaaS.

3) Les 10 points à négocier dans la clause d’hébergement

1. Localisation, résidence et souveraineté des données

• Localisation 100 % UE : production, sauvegardes et PRA en UE/EEE. Interdiction de réplication hors UE sans accord préalable écrit.
• Changement de localisation : notification préalable (60 jours) et droit de résiliation sans frais si sortie de l’UE.
• Accès par autorités étrangères : engagement d’informer et de contester toute demande illégitime, dans la limite autorisée par la loi.

2. Qualification des rôles et DPA art. 28 RGPD

• Responsable/Sous‑traitant : préciser les rôles et annexer un DPA complet (instructions, confidentialité, sécurité, assistance droits RGPD, suppression). Voir notre guide DPA pour SaaS.
• Assistance : délai d’appui du prestataire aux demandes d’exercice de droits (ex. 5 jours ouvrés).

3. Sous‑traitants ultérieurs et chaîne d’hébergement

• Liste nominative des sous‑traitants (IaaS/PaaS, support, emailing, monitoring) et autorisation préalable du client pour tout ajout/remplacement significatif.
• Back‑to‑back : imposer aux sous‑traitants des obligations équivalentes (sécurité, localisation, audit, notification d’incident).

4. Sécurité technique et organisationnelle

• Chiffrement en transit (TLS 1.2+) et au repos (AES‑256), gestion des clés (KMS UE, option BYOK).
• Segmentation multi‑tenant, contrôle d’accès IAM, MFA, journalisation horodatée, rétention des logs.
• Durcissement, correctifs de sécurité, scans de vulnérabilités et tests d’intrusion réguliers par tiers indépendant.
• Certifications/audits : ISO 27001/SOC 2 et, pour données de santé, HDS (hébergement de données de santé) en France. Référez‑vous aux recommandations CNIL (CNIL – Cloud).

5. Sauvegardes, PRA/PCA

• Backups : fréquence (ex. quotidienne), chiffrées, testées (restores trimestriels), conservation (ex. 30/90 jours), toujours en UE.
• PRA/PCA : définir RTO/RPO (ex. RTO 4 h, RPO 15 min) et site de secours en UE. Rapports annuels de tests de reprise.

6. Transferts hors UE (si inévitables)

• Base légale conforme RGPD art. 44‑50 et Clauses Contractuelles Types si applicable. Voir notre guide pour appliquer les CCT post‑Schrems II.
• Transfer Impact Assessment documenté et mis à jour, avec mesures supplémentaires (chiffrement, minimisation).

7. Notification des violations et gestion d’incident

• Délais : notification au client sans retard indu et au plus tard dans les 24 h ouvrées suivant la découverte, pour permettre la notification RGPD sous 72 h à l’autorité (CNIL).
• Contenu : nature de l’incident, données concernées, mesures prises, plan d’actions et point de contact.

8. Droit d’audit et preuves de conformité

• Rapports tiers (ISO/SOC), synthèses de pen‑tests, preuves de tests PRA, board reports sécurité.
• Audit sur site/à distance 1×/an avec préavis raisonnable, sans accès aux secrets d’autres clients.

9. Traçabilité, accès support et confidentialité

• Journaux d’accès administrateur/support, accès justifiés et temporaires (break‑glass), traçabilité conservée (ex. 12 mois).
• Non‑utilisation des données client à des fins d’entraînement d’IA sans consentement exprès.

10. Réversibilité, portabilité et effacement (Data Act)

• Export intégral des données et métadonnées dans des formats ouverts (ex. CSV/JSON/Parquet + schémas), documentation incluse.
• Assistance au transfert vers un autre service, sans frais abusifs, conformément au Data Act (EUR‑Lex).
• Délai d’exécution (ex. ≤ 30 jours) et certificat d’effacement en fin de réversibilité.

4) Formulations contractuelles (exemples à adapter)

Localisation et transferts
« Les Données Client (y compris sauvegardes et PRA) sont hébergées exclusivement dans l’Union européenne.
Aucun transfert en dehors de l’UE/EEE n’aura lieu sans l’accord écrit préalable du Client et la mise en place de garanties
conformes aux art. 44 à 50 du RGPD. Tout changement d’emplacement est notifié 60 jours à l’avance ; le Client peut résilier
sans frais si l’hébergement sort de l’UE. »

Sous-traitants
« Le Prestataire tient à jour la liste nominative de ses sous-traitants ultérieurs. Tout ajout, remplacement ou retrait
significatif est notifié 30 jours à l’avance et soumis à l’autorisation écrite préalable du Client. Le Prestataire impose
contractuellement à ses sous-traitants des obligations équivalentes aux présentes. »

Sécurité et PRA/PCA
« Le Prestataire applique des mesures de sécurité conformes à l’état de l’art (ISO 27001 ou équivalent), chiffrement en
transit et au repos, sauvegardes quotidiennes testées trimestriellement, et un PRA garantissant RTO 4 h / RPO 15 min.
Des rapports de tests de reprise sont fournis annuellement. »

Réversibilité (Data Act)
« À première demande ou en fin de contrat, le Prestataire fournit, sans frais abusifs, l’export complet des Données Client
et métadonnées en formats ouverts documentés et une assistance raisonnable au transfert vers le service désigné par le
Client, dans un délai maximum de 30 jours, puis remet un certificat d’effacement. »

5) Indicateurs SLA liés à l’hébergement

Couplez la clause d’hébergement avec des SLA mesurables : disponibilité (ex. ≥ 99,9 %), délais de correction (P1/P2), RTO/RPO, délais de notification d’incident, temps d’activation d’accès support. Pour cadrer l’ensemble, voir notre guide SLA pour services cloud/SaaS.

6) Secteurs sensibles : santé, données critiques, public

• Santé : exiger l’HDS pour tout hébergement de données de santé hébergées en France, et une traçabilité renforcée (accès soignants, consultations).
• Données critiques : durcissement des exigences (BYOK/KMS UE, double contrôle d’accès, journalisation longue durée).
• Appels d’offres publics : préciser la résidence UE et les modalités de réversibilité conformes au Data Act dès l’appel d’offres.

7) Due diligence : preuves à exiger avant signature

• Cartographie des sous‑traitants, data flow et emplacements (prod / backups / PRA).
• Extraits d’audits ISO/SOC, pen‑tests, plan de réponse à incident, rapports de tests PRA.
• Exemple d’export complet (données + schémas) et procédure de réversibilité documentée.
• Modèle de DPA et clauses transferts hors UE. Pour un tour d’horizon, relisez notre check‑list de vérification d’un contrat SaaS B2B.

8) Pièges fréquents et leviers de négociation

• Flou sur la localisation : verrouillez production + backups + PRA en UE, et un droit de sortie si modification.
• Portabilité illusoire : testez l’export avant signature, listez les formats, exigez l’assistance et un délai.
• Frais de sortie disproportionnés : opposez le Data Act et négociez un barème time & material plafonné.
• Audit inopérant : prévoyez des preuves standardisées (ISO/SOC, synthèses) + audit annuel avec préavis.
• Limitation de responsabilité : excluez/relativisez le plafond pour les data breaches et transferts illicites.

En cas de désaccord persistant ou de nécessité de sortie, organisez la fin de contrat conformément à nos conseils sur la résiliation d’un contrat SaaS.

Références utiles citées

• RGPD (UE 2016/679) – EUR‑Lex
• Data Act (UE 2023/2854) – EUR‑Lex
• CNIL – Recommandations Cloud – PDF
• Loi SREN n° 2024‑449 – Legifrance
• Analyse – Fidal
• Analyse – Initial Legal