Contrat SaaS B2B : ce que vous devez absolument vérifier avant de signer

Contrat SaaS B2B : ce que vous devez absolument vérifier avant de signer

Un contrat SaaS B2B n’est pas une simple licence logicielle : c’est une relation hybride licence + service, encadrée par le droit français/UE et des textes récents (Data Act, loi SREN). Avant de signer, sécurisez votre usage, vos données, vos budgets et vos recours.

Ce guide 2026 synthétise les clauses et réflexes à exiger, avec références officielles (Legifrance, EUR‑Lex, CNIL) et conseils pratiques de négociation.

1) Définir précisément l’objet et le périmètre d’usage

Licence d’usage interne, non exclusive et non transférable

Le contrat doit octroyer des droits d’usage clairs : non exclusifs, non cessibles, limités à vos besoins internes et au territoire voulu. Interdisez la sous‑licence et la revente, sauf accord écrit. Précisez l’accès par API, environnements (prod/sandbox), et l’usage par filiales.

Fonctionnalités, modules, limitations et exclusions

Détaillez les modules inclus, les limitations (utilisateurs nominatifs, capacité de stockage, volume d’API calls, bande passante) et les fonctionnalités explicitement exclues. Exigez une matrice de périmètre jointe en annexe (versionnée), pour éviter tout « scope creep » ou rétrofacturation.

Évolutions et non‑régression

Encadrez les mises à jour : roadmap informative, maintien d’un niveau fonctionnel équivalent, et engagement de non‑régression sur les fonctionnalités essentielles utilisées en production. Prévoyez un préavis raisonnable en cas de breaking changes API.

2) SLA et support : des engagements chiffrés, opposables

Disponibilité mesurée et vérifiable

Un SLA sérieux comporte : disponibilité mensuelle/annuelle (p. ex. 99,9 %), plages d’indisponibilité planifiée, exclusions limitées, horodatage UTC, et méthode de mesure indépendante. Les pénalités doivent être automatiques (crédits SLA) avec droits de résiliation en cas de manquements répétés.

Support, délais de réponse et d’escalade

Documentez les horaires (24/7 ou heures ouvrées), canaux (ticketing, téléphone), délais de réponse/ résolution par sévérité (S1 à S4), escalades (N1‑N3), langues, et prise en charge sur incidents de sécurité.

Crédits SLA : remède unique ?

Refusez que les crédits SLA soient le seul remède en toutes hypothèses. Conservez la possibilité d’indemnisation en cas de dommages prouvés, conformément au Code civil (prévisibilité et limites, cf. Code civil sur Legifrance, art. 1231‑3 : exception en cas de faute lourde/dolosive).

3) Sécurité, conformité et RGPD : non négociables

DPA (article 28 RGPD) : ce qu’il doit contenir

Si le fournisseur traite des données personnelles pour votre compte, un DPA conforme à l’article 28 du RGPD est obligatoire : objet/durée, nature/finalités, types de données, catégories de personnes, obligations de sécurité, aide à l’exercice des droits, sort des données en fin de contrat, et régime des sous‑traitants ultérieurs. Référez‑vous au RGPD sur EUR‑Lex et aux lignes directrices de la CNIL.

Pour aller plus loin sur la structure du DPA et ses annexes techniques, consultez notre guide dédié : DPA (Data Processing Agreement) : guide complet pour les startups SaaS.

Mesures techniques et organisationnelles

Exigez une annexe sécurité détaillant : chiffrement au repos/en transit, gestion des clés, MFA/SSO, journalisation et rétention des logs, segmentation réseau, sauvegardes avec RPO/RTO, tests d’intrusion, gestion des vulnérabilités, secure SDLC, et plan de réponse à incident (avec notification selon le RGPD et les éventuelles obligations sectorielles ; voir aussi Service‑Public Pro).

Sous‑traitants et transferts hors UE

Imposez la liste des sous‑traitants (avec mécanisme d’information/objection préalable) et encadrez tout transfert hors EEE via bases légales et clauses types si nécessaires (SCC). Voir la doctrine CNIL et le RGPD sur cnil.fr et EUR‑Lex. Pour les transferts, nos recommandations opérationnelles : Transfert de données hors UE : appliquer les CCT post‑Schrems II.

NIS2 et DORA : êtes‑vous dans le champ ?

Les cloud computing service providers et services gérés entrent dans le périmètre de la Directive NIS2 (UE 2022/2555), avec exigences de gestion des risques et notification d’incidents ; consultez le texte sur EUR‑Lex. Si vous servez des établissements financiers, évaluez DORA (UE 2022/2554) pour la résilience opérationnelle numérique et les tests, également accessible via EUR‑Lex.

4) Données et propriété intellectuelle

Qui possède quoi ?

Le fournisseur conserve les droits sur le logiciel et sa documentation. Le client reste propriétaire de ses inputs et des données générées qui l’identifient directement (rapports, exports). Prévoyez une clause claire de non‑utilisation commerciale des données du client, hors fourniture du service.

Entraînement d’IA et données clients

Si le prestataire souhaite entraîner des modèles sur vos données, encadrez‑le par un opt‑in explicite, l’anonymisation préalable, et un droit d’audit. Pour intégrer des garde‑fous contractuels, voyez notre modèle et bonnes pratiques : clauses contractuelles sur l’utilisation de l’IA. La CNIL publie des repères utiles sur la réutilisation des données : cnil.fr.

Portabilité et réversibilité : Data Act et loi SREN

Prévoyez la réversibilité : délais (p. ex. 30‑60 jours), formats ouverts (CSV, JSON, XML), intégrité, assistance de migration, environnement de lecture. Le Data Act (Règlement UE 2023/2854) encadre le switching entre services de traitement de données (dont cloud/SaaS) et la baisse progressive des frais de sortie jusqu’à leur suppression ; voir EUR‑Lex. En France, la loi SREN n° 2024‑449 renforce la transparence et la portabilité ; texte disponible sur Legifrance et informations complémentaires sur economie.gouv.fr.

5) Responsabilité, garanties et assurances

Plafonds et exclusions équilibrés

Un plafond raisonnable est souvent lié aux montants payés sur 12 mois (ou un multiple) avec exclusion de certains dommages indirects. Mais le contrat ne peut exclure l’indemnisation en cas de dol ou faute lourde (cf. Code civil art. 1231‑3, Legifrance). Veillez aussi à la validité de la clause de limitation au regard de l’article 1170 (absence d’atteinte à l’obligation essentielle).

Pour approfondir la rédaction et la validité de ces clauses, lisez : clause de limitation de responsabilité : rédaction et validité.

Garantie d’éviction et atteintes PI

Demandez une garantie d’éviction en cas de réclamation de tiers pour contrefaçon, avec prise en charge des frais de défense et options de remède (licence, contournement, remplacement) sans dégradation substantielle des performances.

Assurances

Exigez une attestation à jour : RC Pro/Tech et Cyber (montants, exclusions clés, maintien en vigueur). Un droit d’information en cas de modification/résiliation est prudent.

6) Prix, indexation et frais « cachés »

Transparence tarifaire et frais de sortie

Indexation (indice, plafond), frais d’installation, d’excédent (surconsommation API/stokage), de formation et d’assistance doivent être listés. Les frais de switching et de réversibilité doivent respecter la trajectoire de plafonnement/suppression issue du Data Act et la transparence renforcée par la loi SREN ; voir EUR‑Lex et Legifrance. Des ressources de place éclairent ces enjeux : FIDAL, Mirabile Avocat, Village Justice.

Renouvellement et variations de prix

Encadrez le renouvellement (tacite reconduction ou non), le préavis de non‑reconduction, et les conditions de modification de prix (préavis, droit de résilier en cas de hausse significative).

7) Fin de contrat et réversibilité opérationnelle

Anticipez la sortie dès l’entrée : plan de réversibilité annexé, calendrier, points de contact, runbook de migration, tests à blanc, et droit d’utiliser le service en « lecture seule » pendant la transition. Exigez la suppression/sécurisation post‑export (traçabilité) et la restitution des clés/chiffrement.

8) Clauses « boîte noire » à ouvrir avant de signer

• Droit d’audit (sécurité, RGPD) : périodicité, portée, confidentialité, remédiation.
• Droit de suspension : strictement limité (impayés avérés, risques de sécurité sérieux), avec préavis et maintien d’un accès aux données.
• Évolutions légales : mécanisme de mise à jour contractuelle encadré.
• Améliorations et retours : propriété des suggestions, absence de cession implicite de PI du client.
• Référence client et logos : autorisation écrite préalable.
• Compétence et loi applicable : juridiction claire ; voir nos conseils sur la clause attributive de compétence.

9) Check‑list express avant signature

• Objet, modules, limitations et exclusions listés en annexe versionnée.
• Droits d’usage : internes, non exclusifs, non transférables, API incluses.
• SLA chiffré : disponibilité, maintenance planifiée, crédits automatiques, résiliation en cas de récidive.
• Support : délais de réponse/résolution par sévérité et escalade.
• Plan de continuité : sauvegardes, RPO/RTO, PRA testé.
• DPA RGPD article 28 signé, avec TOMs, sous‑traitants et transferts hors UE encadrés.
• Annexe sécurité : chiffrement, MFA/SSO, logs, pentests, vulnérabilités.
• Notification de faille : délais, contenu, interlocuteurs.
• Propriété des données client affirmée ; pas d’entraînement IA sans opt‑in.
• Réversibilité : formats ouverts, délais, assistance, coûts plafonnés (Data Act/SREN).
• Plafond de responsabilité équilibré ; pas d’exclusion en cas de dol/faute lourde.
• Garantie PI et prise en charge des frais de défense.
• Assurances RC Pro/Tech et Cyber : attestations à jour.
• Tarifs : indexation encadrée, frais annexes listés, price‑hold au renouvellement.
• Audit et conformité (NIS2/DORA si applicable) : droits et obligations réciproques.
• Résiliation : motifs, préavis, effets, accès lecture seule pendant la transition.
• Confidentialité et secret des affaires : périmètre et durée.
• Compétence/loi applicable cohérentes avec votre exposition au risque.

10) Ressources utiles pour aller plus loin

Pour une vue d’ensemble des clauses à intégrer côté éditeur, consultez : les clauses essentielles d’un contrat SaaS et, côté commercialisation, les clauses indispensables de CGV SaaS. Si vous préparez un audit contractuel, notre check‑list d’audit juridique vous aidera à structurer les pièces et annexes.

Textes officiels cités : RGPD et règlements UE accessibles via EUR‑Lex ; cadre français et loi SREN sur Legifrance ; recommandations conformité sur cnil.fr et economie.gouv.fr ; repères pratiques sur Service‑Public Pro, ainsi que des analyses d’avocats : FIDAL, Mirabile Avocat, Village Justice.

FAQ

Un SaaS peut‑il exclure toute responsabilité ?

Non. Les plafonds sont admis en B2B, mais pas d’exclusion en cas de dol ou faute lourde (Code civil art. 1231‑3, Legifrance), ni d’atteinte à l’obligation essentielle (art. 1170).

Le DPA est‑il obligatoire ?

Oui si le prestataire traite des données personnelles pour votre compte ; article 28 du RGPD sur EUR‑Lex et guides CNIL : cnil.fr.

Que change le Data Act pour la portabilité ?

Il impose des mécanismes de switching entre services de traitement de données, une réduction progressive des frais de sortie jusqu’à leur suppression, et des délais raisonnables ; voir EUR‑Lex.

NIS2 et DORA s’appliquent‑ils à tous les SaaS ?

Non. NIS2 vise notamment les fournisseurs cloud/services gérés selon seuils et secteurs ; DORA cible le secteur financier. Analysez votre exposition réglementaire sur EUR‑Lex.

Peut‑on former une IA sur mes données ?

Uniquement si c’est prévu et accepté (opt‑in), avec garanties (anonymisation, sécurité, finalités). Encadrez‑le contractuellement et vérifiez la conformité CNIL.