Contrat SaaS et sous-traitants techniques : comment gérer les dépendances

Tout SaaS moderne repose sur une chaîne de sous‑traitants techniques (hébergeur cloud, CDN, e‑mailing, monitoring, support, sauvegarde). Bien gérées, ces dépendances accélèrent l’innovation. Mal cadrées, elles exposent à des arrêts de service, à des non‑conformités et à des litiges coûteux. Ce guide opérationnel explique comment sécuriser vos contrats en 2026, en combinant RGPD (art. 28), Data Act et bonnes pratiques contractuelles.

1) Pourquoi vos sous‑traitants sont le talon d’Achille de votre SaaS

Incidents d’hébergement, rupture unilatérale d’un API provider, changement de localisation des données, faillite d’un prestataire critique : chaque maillon peut déclencher un risque juridique (confidentialité, disponibilité, conformité) et business (SLA, pénalités, churn). La maîtrise passe par une cartographie claire, des clauses « flow‑down » et un plan de réversibilité testable.

Pour une vue d’ensemble des clauses transverses d’un contrat logiciel, voyez également notre synthèse sur les clauses essentielles d’un contrat SaaS, ainsi que le focus dédié à la clause d’hébergement des données.

2) Le cadre légal applicable en 2026

• RGPD – article 28 : tout prestataire qui traite des données personnelles pour le compte du client doit être lié par un accord de sous‑traitance (DPA) contenant les 8 clauses minimales (instructions documentées, confidentialité, sécurité, sous‑traitance en cascade, assistance aux droits, aide aux AIPD, notification de violation, audits). Référence officielle : RGPD, art. 28.
• Data Act – Règlement (UE) 2023/2854 : applicable à compter du 12/09/2025 pour l’essentiel, il organise la portabilité, l’interopérabilité et la réversibilité des services cloud/SaaS et encadre les obstacles et frais de switching. Référence : Data Act. Présentation générale sur economie.gouv.fr.
• Recommandations CNIL Cloud : choix des fournisseurs, analyse des flux, répartition des responsabilités, clauses d’audit, localisation, chiffrement et gestion des clés : guide CNIL et ressources CNIL.
• Loi SREN (21 mai 2024) : renforce la régulation des acteurs numériques et l’information des utilisateurs en France ; elle s’articule avec le Data Act pour sécuriser l’écosystème cloud/SaaS. Texte sur Legifrance.
• Ressources pratiques : aspects contractuels et obligations pro sur Service Public Pro et corpus EUR‑Lex.

Besoin d’un rappel opérationnel sur le DPA et ses clauses ? Parcourez notre guide complet DPA.

3) Organiser la chaîne de sous‑traitance : cartographie et matrice de responsabilités

3.1 Cartographiez vos dépendances

• Hébergement/IaaS (région, zones, sauvegardes, chiffrement, KMS, HSM).
• Données critiques (base de données, logs, analytics, emailing, support, backups, DRaaS).
• Fonctions sensibles (authentification/SSO, paiement, traitement d’images/IA, modération, anti‑fraude).

Produisez une annexe sous‑traitants au contrat SaaS listant : nom du fournisseur, service rendu, localisation, catégories de données, mesures de sécurité, certifications, statut RGPD (sous‑traitant ultérieur), contact incident.

3.2 Matrice RACI (qui fait quoi ?)

• Responsable (opération) : prestataire SaaS.
• Redevable (conformité) : prestataire SaaS vis‑à‑vis du client.
• Consulté : DPO, RSSI, architecte, client (en cas de changement majeur de sous‑traitant).
• Informé : client pour tout ajout/remplacement de sous‑traitant critique.

4) Clauses indispensables dans votre contrat SaaS et votre DPA

4.1 Transparence et notification des sous‑traitants

• Annexe sous‑traitants à jour, consultable en ligne (avec versionning) + notification préalable des changements (15–30 jours) avec droit d’objection motivée.
• Flow‑down : le prestataire impose à tout sous‑traitant ultérieur des obligations équivalentes (RGPD art. 28, sécurité, confidentialité, incident).

Pour le mécanisme d’information/objection, inspirez‑vous de nos recommandations dans sous‑traitance RGPD dans un SaaS.

4.2 Droit d’audit et alternatives

• Audit raisonnable (préavis 15–30 jours, horaires ouvrés, confidentialité, pas d’accès au code source non nécessaire).
• Alternatives proportionnées : rapports SOC 2, ISO/IEC 27001, attestations de tests d’intrusion, lettres d’assurance indépendantes — comme le recommande la CNIL.

4.3 Sécurité et confidentialité

• Chiffrement au repos/en transit, gestion des clés (KMS/HSM), journalisation, séparation logique des données, durcissement, principes du moindre privilège.
• Plan de détection et notification d’incident (délai, contenu minimal, point de contact, coopération), en cohérence avec le RGPD (art. 28 et obligations de notification d’incident).

4.4 SLA étendus à la chaîne

• Disponibilité et performance end‑to‑end (inclure les composants tiers critiques), crédits de service, exclusions ciblées.
• Engagements de reprise (RTO/RPO), tests DRP, communication proactive lors d’incidents majeurs.

Pour structurer des engagements réalistes et opposables, suivez notre méthode dans le guide SLA : obligations légales et rédaction.

4.5 Réversibilité, portabilité et interopérabilité (Data Act)

• Plan de réversibilité détaillé : formats ouverts documentés, API d’export, assistance technique, délais et responsabilités.
• Frais de sortie transparents, raisonnables et non dissuasifs; suppression progressive des obstacles au switching conformément au Data Act.
• Interopérabilité et mapping des schémas de données; documentation de l’interop layer.

4.6 Transferts hors UE et chaînes globales

• Identifier toute exfiltration (support, logs, sauvegardes, monitoring) vers des pays tiers; mettre en place des garanties appropriées (CCT, chiffrement, évaluation d’impact transfert).
• Informer le client et documenter les transferts dans le DPA (voir CNIL et EUR‑Lex pour le cadre juridique applicable).

4.7 Clause de non‑blocage

Prévoir qu’une objection d’un client à un sous‑traitant n’empêche pas l’évolution technique du service pour l’ensemble des clients. Offrez des options : solution alternative raisonnable, ou résiliation partielle/sans pénalités si l’objection est objectivement fondée (risque RGPD majeur non corrigible).

5) Gouvernance et due diligence des sous‑traitants

• Process d’homologation (sécurité, juridique, financier) avec scoring de risque.
• Revue annuelle des prestataires critiques (certifications, changements de contrôle, incidents, localisation, roadmap).
• KPIs : disponibilité mesurée par composant, MTTR, taux d’incidents imputables à des tiers, délais de notification, conformité au plan de réversibilité.
• Plan de secours par catégorie (hébergeur, emails, paiement) avec fournisseurs de backup/standby et jeux d’accès/API prêts.

6) Checklists contractuelles prêtes à l’emploi

6.1 Annexe sous‑traitants (à insérer dans le contrat)

• Rôle et service fourni; catégories de données; régions/pays de traitement; mesures de sécurité et certificats; durée de conservation; contact incident.
• Mécanisme de mise à jour versionné + notification préalable 15–30 jours; droit d’objection; fallback possible.

6.2 Droit d’audit (équilibré)

• Préavis; limites de périmètre; non‑perturbation; confidentialité renforcée; partage des rapports tiers (SOC 2, ISO 27001); tests périodiques.

6.3 Réversibilité

• Exports en formats ouverts; documentation; assistance raisonnable; calendrier; purge/suppression vérifiable.

7) Exemples de formulations (extraits)

Notification des sous-traitants.
Le Prestataire maintient une Annexe à jour listant ses sous-traitants ultérieurs.
Toute modification substantielle fera l’objet d’une notification préalable de 30 (trente) jours.
Le Client peut présenter une objection motivée en cas de risque sérieux et avéré de non-conformité RGPD.
Le Prestataire proposera une solution alternative raisonnable ; à défaut, le Client pourra résilier la seule fonctionnalité concernée, sans pénalité.

Flow-down RGPD.
Le Prestataire s’engage à imposer à ses sous-traitants ultérieurs des obligations équivalentes à celles prévues
au présent Contrat et au DPA conforme à l’article 28 du RGPD, y compris en matière de sécurité, de confidentialité
et de notification d’incident, et demeure responsable à l’égard du Client.

Réversibilité et switching (Data Act).
À la cessation du Contrat, le Prestataire assistera le Client pendant une période de 60 (soixante) jours pour exporter
les Données dans des formats ouverts et documentés, et coopérera de bonne foi pour faciliter la migration, sans obstacles techniques
ou frais dissuasifs, conformément au Règlement (UE) 2023/2854.

Droit d’audit.
Sous réserve d’un préavis de 20 (vingt) jours ouvrés, le Client peut auditer, une fois par an, les mesures de sécurité pertinentes.
Par alternative, le Prestataire peut fournir des rapports d’audit indépendants (SOC 2 Type II, ISO/IEC 27001) et les plans d’actions associés.

8) Risques et responsabilités

• Absence de DPA conforme à l’article 28 du RGPD : exposition à des sanctions administratives pouvant atteindre 4 % du CA mondial.
• Risque de dépendance forte (vendor lock‑in) : frais et délais de sortie élevés si la réversibilité n’est pas prévue conformément au Data Act.

Pour sécuriser l’ensemble contractuel (CGV/contrat de licence, DPA, SLA), évitez les modèles génériques et adoptez une approche contextualisée : voir nos conseils dans pourquoi éviter un modèle générique.

FAQ (rapide)

Le prestataire est‑il responsable des manquements de ses sous‑traitants ?

Oui, vis‑à‑vis du client, le prestataire demeure responsable de l’exécution contractuelle et de la conformité RGPD de ses sous‑traitants ultérieurs, sauf stipulation illégale.

Peut‑on refuser un nouveau sous‑traitant ?

Prévoyez une notification préalable (15–30 jours) + droit d’objection motivée. En cas de refus fondé, la solution est une alternative raisonnable ou une résiliation ciblée sans pénalité.

Comment concilier droit d’audit et secret des fournisseurs cloud ?

Rédigez un audit proportionné et acceptez des alternatives (ISO 27001, SOC 2, attestations) comme le recommande la CNIL.

Que change le Data Act pour mon SaaS ?

Des obligations concrètes de portabilité, réversibilité et d’élimination d’obstacles au switching à compter du 12/09/2025, avec transparence sur les frais et assistance à la migration.

Faut‑il une politique spécifique pour les transferts hors UE ?

Oui : inventaire des flux, CCT le cas échéant, chiffrement, et évaluation d’impact transfert. Documentez‑le dans votre DPA et votre registre de traitements.

Pour approfondir les obligations SaaS en B2B et B2C, consultez aussi ce rappel des obligations légales.