SLA (Service Level Agreement) : obligations légales et comment le rédiger

Qu’est-ce qu’un SLA et à quoi sert-il en SaaS ?

Le Service Level Agreement (SLA) fixe les niveaux de service mesurables (KPI) que le fournisseur s’engage à délivrer : disponibilité, délais d’intervention et de rétablissement, support, sécurité, sauvegardes, réversibilité. Il est généralement intégré en annexe d’un contrat de licence SaaS ou des CGV/CGU applicables. À la différence d’un SOW (Statement of Work), il encadre l’exécution continue du service, pas un livrable ponctuel. Pour un rappel synthétique sur la notion, voir aussi cette présentation métier (Advancia Teleservices).

Cadre juridique applicable en France et dans l’UE

Droit des contrats (Code civil)

Il n’existe pas de loi française imposant un SLA. Juridiquement, c’est un engagement contractuel soumis aux règles générales des obligations : liberté contractuelle (art. 1101 C. civ.), sanctions de l’inexécution (art. 1217), force majeure (art. 1218 C. civ.), et contrôle de la clause pénale (art. 1231-5 C. civ.) que le juge peut modérer si elle est manifestement excessive (Justice.fr). Attention aussi à l’art. 1170 C. civ. : une clause qui prive de sa substance l’obligation essentielle (ex. : un SLA neutralisé par un plafond de responsabilité dérisoire) est réputée non écrite.

Protection des données (RGPD)

Si le service traite des données personnelles, le SLA doit être cohérent avec le contrat de sous-traitance RGPD (art. 28 du RGPD) : sécurité (ISO 27001 en référence), gestion des incidents, délais de notification et réversibilité. En pratique, on complète le SLA par un DPA détaillé ; voir notre guide DPA pour SaaS et les recommandations de la CNIL (ex. : notification d’une violation dans les 72h à l’autorité et sans délai indu au client responsable de traitement).

Services numériques et cloud

Certains SaaS pouvant être qualifiés de services intermédiaires doivent aussi considérer les obligations de transparence prévues par le Digital Services Act (UE 2022/2065) lorsqu’ils hébergent des contenus de tiers. Pour la structuration contractuelle du cloud, les lignes directrices EDPS insistent sur la localisation des données, la réversibilité et la chaîne de sous-traitance. Des repères utiles existent aussi côté administration française (Economie.gouv.fr) et fiches pratiques entreprises (Service Public Pro).

Pour une vue métier de la pratique contractuelle cloud et des écueils courants, voyez également cette analyse (IT for Business).

Comment rédiger un SLA robuste : méthode et clauses clés

1) Périmètre, définitions et architecture contractuelle

• Documenter précisément les services couverts (modules, API, régions de déploiement), les environnements (prod/préprod), et ce qui est exclu.
• Définitions standardisées : Disponibilité, GTI (délais de prise en charge), GTR (délais de rétablissement), P1/P2/P3 (gravité), RPO (perte de données admissible), RTO (délai de reprise).
• Hiérarchie documentaire : en cas de conflit, ordre de priorité entre Contrat principal, SLA, DPA, CGV SaaS, politiques techniques.

2) KPI et niveaux de service mesurables

• Disponibilité mensuelle (par ex. 99,9 %). Formule type : Disponibilité (%) = (Minutes totales – indisponibilité non planifiée) / Minutes totales × 100. Exclure la maintenance planifiée et cas de force majeure (art. 1218 C. civ.).
• Support : GTI P1 ≤ 30 min 24/7, P2 ≤ 2h, canaux (ticketing, téléphone), astreinte.
• Rétablissement : GTR P1 ≤ 4h ou contournement ; P2 ≤ 1 jour ouvré.
• Performance : temps de réponse API p95 ≤ 300 ms, taux d’erreurs p95 ≤ 0,1 %.
• Sauvegardes : RPO ≤ 24h, tests de restauration trimestriels, rétention 30 jours.
• Sécurité : chiffrement au repos/en transit, MFA admin, revues d’accès mensuelles, journalisation 180 jours, gestion des vulnérabilités (SLA de patch).

3) Mesure, preuve et reporting

• Fenêtre de mesure : mensuelle, par fuseau et région.
• Sources de mesure : outils internes (logs, APM) et/ou tiers. Conserver les journaux 12 mois.
• Rapports : tableau de bord en libre-service + rapport mensuel transmis au client.
• Audit : droit d’audit raisonnable, combiné aux rapports de certification (ISO/IEC 27001, ISO/IEC 20000-1).

4) Gestion des incidents et escalade

• Classification claire (P1 indisponibilité totale, P2 dégradation majeure, etc.).
• Processus d’escalade : délais, rôles, astreinte, points de contact, statut en temps réel (status page).
• Post-mortem écrit pour chaque P1, plan d’actions et suivi.

5) Sécurité, RGPD et notifications

• Notification d’incident sécurité : sans délai indu et au maximum 24h pour les fuites potentielles de données personnelles, afin de permettre le respect des 72h prévues par le RGPD/CNIL.
• Chaîne de sous-traitance : approbation/préavis pour tout nouveau sous-traitant, cohérence avec le DPA (art. 28 RGPD).
• Tests et audits : scans réguliers, pentests annuels, correctifs selon sévérité (ex. critique ≤ 7 jours).

Pour outiller cette brique, reportez-vous à notre guide DPA et aux recommandations cloud de l’EDPS (lignes directrices).

6) Continuité d’activité et réversibilité

• Plan de reprise (PRA) : objectifs RTO/RPO, tests documentés, responsabilités.
• Réversibilité : export des données (formats ouverts), assistance, délais et coûts plafonnés.

7) Crédits de service, pénalités et articulation avec la responsabilité

• Crédits de service : remises automatiques en cas de non-atteinte (ex. 10 % si dispo < 99,9 %). Ils ne doivent pas priver le client de ses autres recours (art. 1170 C. civ.).
• Clause pénale : envisageable, mais elle peut être réduite par le juge si excessive (art. 1231-5 C. civ.). Préférez des barèmes proportionnés et plafonnés.
• Limitation de responsabilité : ajuster le plafond pour ne pas neutraliser le SLA. Voir nos conseils sur la clause de limitation de responsabilité.

8) Exclusions et maintenance

• Maintenance planifiée : fenêtres annoncées (ex. dim. 2h-4h CET), limitées et hors heures ouvrées quand possible.
• Exclusions : cas de force majeure (art. 1218 C. civ.), fautes ou environnements du client, pannes chez des tiers non sous-traités, attaques DDoS massives si protections contractuelles non souscrites.

Pour calibrer juridiquement ces exclusions, utile de revisiter vos clauses force majeure et imprévision.

9) Gouvernance, révision et évolution

• Comité de pilotage trimestriel, suivi des KPI et plans d’amélioration.
• Révision annuelle du SLA (préavis 60 jours, droit de résilier si dégradation substantielle).
• Versioning : gestion des changements, traçabilité, notification écrite.

Barème type de disponibilité et crédits de service

• ≥ 99,9 % : conforme (aucun crédit)
• [99,0 % ; 99,9 %) : crédit 10 % de la facture mensuelle impactée
• [98,0 % ; 99,0 %) : crédit 25 %
• < 98,0 % : crédit 50 % + droit de résiliation sans frais si 2 mois consécutifs

Précisez les modalités de demande (automatique vs sur réclamation) et la non‑cumulabilité avec d’autres remises. Évitez de qualifier ces crédits comme « seul et exclusif recours » pour ne pas heurter l’art. 1170 C. civ..

Erreurs fréquentes à éviter

• KPI non mesurables ou mal définis (pas de formule ni de fenêtre de mesure).
• Absence d’articulation avec la responsabilité : un plafond trop bas peut neutraliser le SLA.
• Exclusions trop larges (tout devient « maintenance » ou « force majeure »).
• Pas d’escalade P1 24/7 ni de post‑mortem.
• Oubli de la réversibilité et de la chaîne de sous-traitance RGPD.

Checklist express de votre SLA

• Périmètre clair, définitions et hiérarchie documentaire
• KPI chiffrés : disponibilité (≥99 %), GTI/GTR, performance, sauvegardes
• Mesure, reporting mensuel et audit
• Gestion d’incidents, escalade, post‑mortem
• Sécurité, DPA et notifications RGPD alignées CNIL
• Crédits/pénalités proportionnés (art. 1231-5)
• Exclusions et maintenance documentées
• Réversibilité, PRA (RTO/RPO), sous-traitants
• Révision annuelle et droit de résiliation en cas de manquements répétés

Extraits de clauses (exemples à adapter)

Disponibilité

« Le Fournisseur garantit une disponibilité mensuelle du Service de 99,9 %. La disponibilité est calculée comme suit : (Minutes totales du mois – Indisponibilité non planifiée) / Minutes totales × 100. Sont exclus les arrêts de maintenance planifiée dûment notifiés et les événements de force majeure au sens de l’art. 1218 C. civ.. »

Crédits de service

« En cas de non‑atteinte d’un Niveau de Service, le Client bénéficie d’un crédit tel que défini au barème ci‑dessus, imputable sur la facture mensuelle suivante. Ces crédits n’affectent pas le droit du Client de solliciter d’autres remèdes prévus par la loi ou le Contrat lorsque l’inexécution cause un préjudice distinct. »

Notifications RGPD

« Le Fournisseur notifie au Client sans délai indu et au plus tard dans les vingt‑quatre (24) heures tout Incident de Sécurité susceptible d’affecter des Données à caractère personnel, afin de permettre au Client de respecter ses obligations de notification prévues par le RGPD et les lignes directrices de la CNIL. »

Questions fréquentes

Le SLA est‑il obligatoire ?

Non. Aucune loi ne l’impose, mais il sécurise l’exécution du contrat et facilite la preuve. Il est fortement recommandé en SaaS.

Faut‑il choisir des pénalités ou des crédits ?

Les crédits de service sont plus souples. Une clause pénale est possible, mais le juge peut la réduire si elle est excessive (art. 1231‑5 C. civ.).

Comment articuler SLA, CGV et DPA ?

Prévoyez une hiérarchie des documents et une cohérence entre SLA et DPA pour la sécurité/notification, le tout complétant vos CGV SaaS conformes.

Besoin d’un audit rapide de votre SLA et de vos contrats ? Consultez aussi nos ressources sur l’accompagnement contractuel SaaS et l’audit juridique de startup.