InitialInitial
Réserver un appel
← Retour au blog
Contrats SaaS et Tech7 min

Contrat de licence SaaS : modèle 2026 et points de vigilance juridiques

Modèle de contrat de licence SaaS (2026) et clauses clés: RGPD (art. 28), Data Act, SREN, SLA, réversibilité, interopérabilité, propriété intellectuelle. Checklist pratique.

Contrats SaaS et TechPropriété intellectuelleRGPD
ParJimmy HababouAvocat au barreau de ParisLinkedIn
Dirigeant et avocat révisent un contrat de licence SaaS avec mentions RGPD, Data Act et SLA sur une table de réunion

Un contrat de licence SaaS bien rédigé combine un droit d’usage sur le logiciel et des services continus (hébergement, support, maintenance, sécurité). En 2026, l’accord doit intégrer le cadre PI français, la conformité RGPD, les nouvelles obligations de portabilité et d’interopérabilité issues du Data Act, ainsi que les exigences de transparence de la loi SREN.

Qu’est-ce qu’un contrat de licence SaaS en 2026 ?

Le contrat de licence SaaS confère un droit d’usage non exclusif, non transférable et limité du logiciel, tout en encadrant les services associés (SLA, support, mises à jour). Sur le plan juridique :

  • Le droit d’auteur protège le logiciel et encadre les exceptions (notamment pour l’interopérabilité) au titre du Code de la propriété intellectuelle (CPI).
  • Le traitement des données personnelles exige un accord conforme au RGPD (notamment art. 28 pour l’encadrement du sous-traitant).
  • Le Data Act (UE 2023/2854), applicable à compter du 12 septembre 2025, impose la portabilité des données, l’interopérabilité des services cloud et la réduction des obstacles contractuels et techniques au changement de fournisseur.
  • La loi SREN n° 2024‑449 renforce la transparence des coûts et encadre les pratiques de verrouillage (« lock‑in ») sur les services numériques en France.

Modèle de contrat de licence SaaS : structure recommandée

Voici l’ossature qui couvre 95 % des besoins B2B, à adapter selon votre produit, votre exposition RGPD et votre architecture cloud.

1) Parties, définitions et documents contractuels

  • Identification complète des parties, hiérarchie des documents (contrat principal, annexes technique/SLA/tarif/DPA, bons de commande).
  • Glossaire précis (utilisateur autorisé, données Client, Données personnelles, Données de service, Disponibilité, Incident critique…).

2) Objet et droit d’usage (licence)

  • Droit d’usage non exclusif, non cessible, limité au périmètre (modules, environnement, volume d’utilisateurs, territoire, finalités).
  • Restrictions (pas d’ingénierie inverse ni d’accès non autorisé), sous réserve des exceptions légales à l’interopérabilité prévues par le CPI.

Référence : Code de la propriété intellectuelle.

3) Services, support et SLA

  • Niveaux de service (ex. Disponibilité mensuelle, fenêtres de maintenance, délais de rétablissement), pénalités ou crédits de service.
  • Support (heures ouvrées, canaux, délais de réponse selon sévérité), mises à jour et évolutions fonctionnelles.

4) Sécurité, hébergement et conformité

  • Mesures techniques et organisationnelles, journalisation, chiffrement, gestion des vulnérabilités, plan de reprise (RTO/RPO).
  • Localisation des données, liste des sous-traitants, notification d’incident de sécurité et de violation de données personnelles.

Références : RGPD et recommandations de la CNIL.

5) Protection des données (annexe DPA – art. 28 RGPD)

  • Rôles (Responsable/ Sous-traitant), instructions documentées, confidentialité, sécurité, audits, sous‑traitants ultérieurs et transferts hors UE.
  • Mécanismes de transfert (Clauses Contractuelles Types si applicables) et registre des traitements.

Références : RGPD ; guides CNIL.

6) Données, portabilité et réversibilité

  • Export à première demande dans des formats ouverts, lisibles par machine, avec documentation d’API et mapping des champs.
  • Plan de sortie (durée, jalons, assistance technique), plafonnement et transparence des frais de switching conformément au Data Act et à la loi SREN.

Références : Data Act ; loi SREN.

7) Interopérabilité et API

  • Engagements d’interopérabilité (standards ouverts, SDK), compatibilité raisonnable avec solutions cibles et documentation stable.
  • Politique de versionning et préavis en cas de rupture de compatibilité.

Référence : Data Act.

8) Conditions financières

  • Modèle de prix (utilisateurs, consommation, paliers), indexation, révision, modalités de facturation, pénalités de retard.
  • Transparence des coûts (stockage, egress, assistance à la réversibilité) conformément à la SREN.

Références : loi SREN ; informations pratiques Service Public Pro et économie.gouv.fr.

9) Propriété intellectuelle et garanties

  • Réserve de propriété du Fournisseur, licence d’usage pour le Client, droits sur les contenus Client, et clauses sur composants open source.
  • Garantie d’éviction en cas d’atteinte aux droits de PI par le SaaS, avec mécanismes de contournement ou cessation d’usage.

Références : CPI ; ressources INPI.

10) Confidentialité

  • Définition d’Informations confidentielles, exceptions, durée de confidentialité, sécurité raisonnable, restitution/destruction.

11) Responsabilité et assurances

  • Limitations et exclusions (dommages indirects), plafonds (ex. montant de l’abonnement), obligations d’assurance RC Pro/Cyber.
  • Clauses spécifiques pour disponibilité/SLA et atteinte aux données (régime distinct).

12) Durée, résiliation et fin de contrat

  • Durée initiale, reconduction, résiliation pour manquement grave, cas de force majeure, changement de contrôle.
  • Procédure de réversibilité : calendrier, assistance, suppression/sécurisation post‑contrat.

Références : Data Act (absence d’obstacles contractuels/techniques au switching).

Points de vigilance juridiques majeurs

  • Périmètre du droit d’usage : précisez modules, environnements, métriques de licence et restrictions à la lumière des exceptions d’interopérabilité du CPI.
  • Réversibilité/portabilité : livrables, formats ouverts, délais, assistance, documentation d’API, et frais plafonnés/transparents (Data Act, SREN).
  • Interopérabilité effective : politiques de versionning, tests de compatibilité, préavis en cas de breaking changes (Data Act).
  • RGPD : DPA art. 28, cartographie des sous‑traitants, transferts hors UE, notification des violations et audits proportionnés (CNIL).
  • SLA réalistes : disponibilités garanties, exclusions maîtrisées, crédits/pénalités, et alignement avec la redondance technique.
  • Propriété intellectuelle : clause de garantie d’éviction et gestion des composants open source; envisagez un entiercement ciblé si une brique critique on‑prem est nécessaire à la continuité.
  • Évolutions tarifaires : mécanismes d’indexation raisonnables, plafonds de hausse et droit de résiliation en cas de modification substantielle.
  • Fonctionnalités IA intégrées : transparence sur l’usage de modèles tiers, flux de données, droits sur outputs et conformité RGPD.

Pour un panorama des clauses cœur d’un accord SaaS, voir notre guide sur les clauses essentielles d’un contrat SaaS. Si votre solution recourt à des modèles d’IA, intégrez une clause contractuelle dédiée à l’utilisation de l’IA.

Checklist de négociation (pratique)

  • Rôles RGPD, DPA annexé et transferts hors UE cadrés (voir notre guide DPA pour SaaS et le guide transferts hors UE).
  • Portabilité : export complet, formats ouverts, délais et frais plafonnés ; API documentée et tests d’extraction à blanc.
  • SLA : dispo mesurée, pénalités automatiques, process d’escalade, RTO/RPO alignés à vos besoins métiers.
  • PI : licence d’usage, garantie d’éviction, politique open source, et, si requis, entiercement ou mécanisme de continuité.
  • Tarifs : indexation, variations, coûts annexes (stockage, egress, assistance), droit de sortie en cas de hausse anormale.
  • Interopérabilité : standards, préavis de breaking change, sandbox et SDK fournis.
  • Résiliation : motifs, préavis, plan de sortie, purge/sécurisation des données et attestation de suppression.

Extraits de clauses (modèle à adapter)

Licence d’usage

Le Fournisseur concède au Client, pour la Durée, un droit d’usage non exclusif, non transférable et non sous‑licenciable sur le Logiciel, strictement limité aux Modules et Utilisateurs autorisés, pour les seuls besoins internes du Client et sur le Territoire convenu. Toute ingénierie inverse, décompilation ou tentative d’accès non autorisé est prohibée, sous réserve des exceptions impératives d’interopérabilité prévues par le Code de la propriété intellectuelle.

Référence : CPI.

SLA – disponibilité et pénalités

Le Service vise une disponibilité mensuelle de 99,9 %, hors fenêtres de maintenance planifiées (préavis ≥ 72 h) et causes d’exonération convenues. En cas de non‑atteinte, le Client bénéficie automatiquement d’un crédit de service selon le barème en Annexe SLA. Les Incidents sont traités selon les délais cibles par sévérité (P1, P2, P3).

Réversibilité et portabilité

À toute échéance ou résiliation, le Fournisseur met à disposition, dans un délai de 15 jours ouvrés, l’Export des Données Client en formats ouverts et lisibles par machine, accompagné de la documentation d’API. L’assistance à la migration (scope et coûts) est définie à l’Annexe Réversibilité, dans le respect des exigences d’interopérabilité et de limitation des obstacles au switching.

Références : Data Act ; SREN.

Protection des données (DPA – art. 28 RGPD)

Le Fournisseur agit en qualité de Sous‑traitant et traite les Données personnelles uniquement sur instructions documentées du Client, Responsable de traitement. Il met en œuvre des mesures de sécurité appropriées, notifie toute violation dans les meilleurs délais, et ne recrute aucun Sous‑traitant ultérieur sans autorisation. Les transferts hors UE s’appuient sur un mécanisme valide.

Référence : RGPD.

Garantie PI et éviction

Le Fournisseur garantit que le Logiciel, tel que fourni, ne porte pas atteinte aux droits de propriété intellectuelle de tiers dans les territoires visés. En cas de réclamation, il assurera la défense et prendra à sa charge les condamnations, sous réserve que le Client le notifie promptement. Le Fournisseur pourra, à son choix, (i) modifier le Logiciel, (ii) obtenir un droit d’usage, ou (iii) résilier la licence de la fonctionnalité affectée avec remboursement prorata temporis.

Pour approfondir les différences entre modèles de licence et impacts open source, consultez notre article dédié au contrat de licence de logiciel (SaaS, open source, propriétaire).

Sanctions et risques en cas de non‑conformité

  • RGPD : risques de mises en demeure et sanctions pécuniaires par la CNIL en cas de manquement (ex. absence de DPA, transferts non encadrés).
  • Data Act : litiges contractuels, injonctions et sanctions administratives par les autorités compétentes en cas d’obstacles au switching et manquements d’interopérabilité.
  • SREN : contrôle des pratiques de verrouillage et transparence des coûts, avec risques de sanction en cas d’inobservation.

Textes : RGPD ; Data Act ; loi SREN.

Questions fréquentes

Le DPA est‑il obligatoire ?

Oui, si le Fournisseur traite des données personnelles pour le compte du Client, un accord écrit conforme à l’article 28 du RGPD est requis.

Doit‑on prévoir un entiercement du code source en SaaS ?

Généralement non, car le Client n’exécute pas le logiciel. Il peut être envisagé pour des briques on‑prem essentielles à la continuité, ou via des engagements de réversibilité renforcés.

Le fournisseur peut‑il facturer l’export des données ?

Des frais raisonnables et transparents peuvent être prévus pour l’assistance, mais sans créer d’obstacle au switching au regard du Data Act et de la SREN.

Comment traiter les transferts hors UE ?

Via des mécanismes reconnus (p. ex. Clauses Contractuelles Types) et une évaluation des risques, comme détaillé dans notre guide sur les transferts hors UE.

Besoin d’un modèle adapté à votre stack technique et à votre go‑to‑market ? Nous auditons et rédigeons des contrats SaaS conformes RGPD et Data Act, avec plans de sortie testés et SLA actionnables.

Ressources connexes

Contrat SaaS : les clauses essentielles pour sécuriser votre logiciel en ligneDPA (Data Processing Agreement) : guide complet pour les startups SaaSTransfert de données hors UE : appliquer les CCT post‑Schrems II (guide 2026)Contrat de licence de logiciel : SaaS, open source et propriétaireClause contractuelle sur l'utilisation de l'IA : modèle et bonnes pratiques

FAQ

Quelles clauses sont incontournables dans un contrat de licence SaaS ?

Droit d’usage, description des services, SLA, sécurité, DPA RGPD, portabilité/réversibilité (Data Act), interopérabilité, IP/garantie d’éviction, confidentialité, responsabilité, durée/résiliation.

Le Data Act s’applique-t-il à tous les contrats SaaS ?

Il s’applique à partir du 12/09/2025 à de nombreux services de traitement de données (cloud/SaaS), imposant portabilité, interopérabilité et suppression d’obstacles au changement de fournisseur.

Comment limiter les risques RGPD dans un SaaS ?

Annexer un DPA (art. 28), cartographier les sous-traitants, encadrer les transferts hors UE, définir des mesures de sécurité, prévoir audits proportionnés et notification des violations.

Peut-on facturer la réversibilité ?

Oui pour l’assistance technique, si coûts transparents et proportionnés, sans créer de lock-in contraire au Data Act et à la SREN.

Faut-il prévoir un entiercement de code source ?

Optionnel en SaaS ; utile seulement si une brique on-prem est critique. Privilégier un plan de continuité et de réversibilité testé.

Sources utilisées