Contrat de licence de logiciel : SaaS, open source et propriétaire

En 2026, négocier un contrat de licence de logiciel exige d’articuler droit d’auteur, conformité cybersécurité et gouvernance des données. Ce guide opérationnel couvre les trois régimes majeurs — logiciel propriétaire, SaaS et open source — avec les clauses indispensables et les nouveaux textes européens (Data Act, Cyber Resilience Act) à intégrer.

1) Cadre légal à connaître

- Droit d’auteur logiciel: en France, les droits de l’auteur sur le logiciel et ses exceptions légales (copie de sauvegarde, observation/décompilation pour interopérabilité) sont encadrés par le Code de la propriété intellectuelle, notamment l’article L122‑6‑1 CPI.

- Union européenne: la directive 2009/24/CE protège les programmes d’ordinateur et a permis, sous conditions, la reconnaissance de l’épuisement du droit de distribution pour certaines licences perpétuelles, y compris lorsque le logiciel est téléchargé en ligne (attention: ce raisonnement ne s’applique ni aux abonnements ni aux licences temporaires).

- Exécution des droits de PI: la directive 2004/48/CE renforce les voies d’action en cas d’atteinte aux droits. La CJUE (affaire C‑666/18) a jugé que la violation de conditions d’une licence logiciel qui définissent l’étendue des droits concédés peut constituer une atteinte aux droits d’auteur, permettant d’activer ces garanties renforcées.

- Données et portabilité: le Data Act (UE) 2023/2854 impose des obligations de portabilité et de changement de fournisseur pour les services cloud/SaaS, encadre les frais de sortie et prévoit des obligations de transparence contractuelle sur l’accès aux données générées. Ces règles complètent le droit à la portabilité du RGPD (voir la CNIL et l’EDPB).

- Cybersécurité: le Cyber Resilience Act instaure des exigences CE en matière de sécurité des logiciels intégrés dans des produits. L’open source développé hors activité commerciale est en principe exclu, mais dès qu’il est intégré dans un produit ou service commercialisé, les obligations pèsent sur l’opérateur économique.

- Droit français du numérique: la loi SREN renforce l’arsenal de régulation du numérique. Pour les acteurs cloud/SaaS, pensez surtout à l’articulation avec le Data Act et, plus largement, aux exigences de loyauté et sécurité (références sur Legifrance).

2) Logiciel propriétaire: clauses essentielles à négocier

Périmètre d’usage et restrictions

• Objet: définir précisément ce qui est concédé (droit d’installation, d’exécution, de reproduction à des fins de sauvegarde, d’adaptation), en rappelant les exceptions légales de L122‑6‑1 CPI.
• Champ: type d’usage (interne/externe), nombre d’utilisateurs (nommés/concurrents), CPU/cores, instances, sites, filiales, environnement (prod/dev/test), territoire.
• Durée: perpétuelle vs. déterminée; conditions de renouvellement des maintenances.
• Interdictions: décompilation hors interopérabilité, reverse engineering non autorisé, benchmarking public sans accord, sous-licence sans consentement.

Maintenance, mises à jour et conformité

• SLA et MCO: niveaux de service, délais de correction par sévérité, roadmap d’évolutions, compatibilités systèmes.
• Mises à jour: différence « correctifs » vs « versions majeures » (et leur coût).
• Audit de licence: modalités d’audit raisonnables, périodicité, confidentialité, remèdes gradués en cas de dépassement d’usage.

Pour cadrer l’exposition financière, combinez une clause de plafonnement et d’exclusions adaptées. Voir notre guide dédié à la clause de limitation de responsabilité.

Transfert et revente

La revente de licences perpétuelles peut être possible (épuisement du droit de distribution au sein de l’EEE) si les conditions jurisprudentielles sont réunies. Prévoyez une clause de cession encadrée et des déclarations sur l’effacement des copies par le cédant. Évitez d’assimiler un abonnement ou une licence temporaire à une vente.

Astuce pratique: documentez l’origine du code et les droits cédés par les fondateurs/prestataires. À ce titre, relisez votre chaîne de titres avec notre focus « cession de propriété intellectuelle par les fondateurs » et sécurisez le code avec « protection du code source d’une startup ».

3) SaaS: abonnement, portabilité et anti-lock-in

Nature du droit concédé

Un SaaS confère en principe un droit d’accès/usage à distance, sans droit de reproduction local du logiciel. Évitez toute ambiguïté en le précisant.

Portabilité et changement de fournisseur (Data Act)

• Réversibilité: assistance à la sortie, calendrier, format ouvert (API/export), tests de restauration, conservation temporaire des données.
• Accès aux données: qui peut accéder, à quelles données (brutes/dérivées/métadonnées), fins autorisées, journalisation, sécurité.
• Frais de sortie: transparence et trajectoire de réduction conformément au Data Act.
• Interopérabilité: doc technique, schémas, compatibilité avec services substituables; obligations de coopération entre fournisseurs lors du switch.

Pour un cadrage complet des relations SaaS (SLA, disponibilité, sauvegardes, support, pénalités), consultez nos guides « contrat SaaS : clauses essentielles » et « CGV SaaS : clauses indispensables ».

Protection des données et sécurité

• RGPD: accord de traitement (DPA), sous-traitants, mesures techniques/organisationnelles, AIPD si nécessaire; voir la CNIL.
• Transferts internationaux: mécanismes post‑Schrems II (CCT, TIAs); notre guide « transfert de données hors UE » détaille la mise en œuvre.
• Cybersécurité by design: gestion des vulnérabilités, SBOM, correctifs; anticipez les exigences du Cyber Resilience Act si votre SaaS s’intègre à des produits avec éléments numériques.

4) Open source: conformité, copyleft et stratégie produit

Identifier les obligations par licence

• Permissives (MIT, BSD, Apache‑2.0): attribution, notice de droits, parfois notice de changements et clause de brevets (Apache‑2.0).
• Copyleft (GPL, LGPL, AGPL): mise à disposition du code source des œuvres dérivées en cas de distribution; l’AGPL étend l’obligation en cas d’accès via réseau (SaaS).

Installez un processus de conformité OSS: inventaire des composants (SBOM), vérification des compatibilités de licences, mentions dans la documentation/produit, conservation des textes de licence, politique interne et formation des équipes. L’open source reste protégé par le droit d’auteur: repères utiles sur l’INPI.

Dual licensing et modèle économique

Vous pouvez proposer une édition open source et une édition commerciale avec fonctionnalités/proserv supplémentaires. Cadrez clairement la portée des droits et les contributions communautaires (Contributor License Agreement).

Cybersécurité et CRA

Si un composant open source est intégré dans un produit commercial, le responsable de la mise sur le marché doit assurer la conformité sécurité (gestion de vulnérabilités, traçabilité, notices) au titre du Cyber Resilience Act.

5) Contentieux: choisir la bonne voie

• Violation d’une licence: si elle touche le périmètre des droits (ex. dépassement d’utilisateurs, modification non autorisée), elle peut constituer une atteinte aux droits d’auteur (CJUE C‑666/18), ouvrant accès aux garanties de la directive 2004/48/CE.
• Stratégie probatoire: journaliser les usages, activer les audits prévus, consigner les écarts et mises en demeure. En pratique, une mise en demeure bien structurée accélère souvent la résolution amiable; voir notre guide « mise en demeure efficace ».
• Clauses financières: prévoyez des pénalités contractuelles graduées et calculables; voir « clause pénale vs. clause de dédit ».

6) Checklist contractuelle (prête à l’emploi)

A. Logiciel propriétaire

• Périmètre d’usage (utilisateurs, sites, environnements, métriques de licence) et exceptions légales rappelées (L122‑6‑1 CPI).
• Restrictions claires (reverse engineering, sous-licence, benchmarking, cloud/VDI).
• Maintenance/SLA, matrice de sévérité, feuilles de route et compatibilités.
• Audit de licence raisonnable, cure period, surcoûts plafonnés.
• Transfert/cession encadrés, garanties de désinstallation/effacement.
• Responsabilités, plafonds, exclusions spécifiques, assurance RC pro/cyber.

B. SaaS

• Nature de l’accès (service, sans reproduction), niveaux de service et pénalités.
• Données: propriété/usage, réversibilité, formats d’export, API, délais.
• Portabilité et switch (Data Act): transparence des frais, coopération au changement de fournisseur.
• RGPD: DPA, sous-traitants, transferts internationaux, sécurité.
• Cybersécurité by design, gestion des vulnérabilités, SBOM.

C. Open source

• Inventaire des composants et licences (SBOM), compatibilité des licences.
• Respect des obligations (attribution, notices, mise à disposition du code si copyleft/AGPL).
• Processus d’approbation interne, revue juridique, formation équipe.
• Clauses OSS dans le contrat client (avis de tiers, exclusions, responsabilité).
• Anticipation CRA pour produits commerciaux intégrant de l’OSS.

Pour industrialiser ces pratiques, appuyez-vous sur une fonction Legal Ops outillée; notre « audit juridique de startup » et « automatiser la gestion contractuelle » offrent des trames et outils no‑code prêts à l’emploi.

FAQ

Un contrat SaaS est‑il une licence de logiciel ?
Généralement non: c’est un droit d’accès/usage à distance. Évitez d’accorder un droit de reproduction ou de distribution, propres aux licences on‑premise.

Puis‑je revendre une licence achetée en téléchargement ?
L’épuisement du droit peut s’appliquer aux licences perpétuelles, sous conditions strictes du droit de l’UE. Les abonnements/temporaires ne sont pas concernés. Faites auditer votre contrat et la traçabilité des copies.

Le Data Act s’applique‑t‑il à mon SaaS B2B ?
Oui, s’il traite des données générées par l’usage d’un produit/service, avec des obligations de portabilité, transparence et changement de fournisseur. Intégrez ces exigences dans vos CGV/contrat.

Une violation de licence est‑elle une simple inexécution contractuelle ?
Pas seulement: lorsqu’elle excède l’étendue des droits concédés, elle peut constituer une atteinte aux droits d’auteur, avec les remèdes de la directive 2004/48/CE (CJUE C‑666/18).