Documents à inclure en annexe d’un contrat SaaS

Cet article est le troisième d’une série sur le contrat SaaS. Un contrat SaaS bien structuré ne se limite pas aux obligations principales des parties. J’ai déjà traité le sujet du contrat SaaS dans un précédent article. Il est donc essentiel de ne pas négliger les annexes.

Il est primordial d’inclure des annexes adaptées afin que le lecteur, n’ayant pas participé aux échanges de négociation, puisse comprendre clairement l’objet du contrat, et de minimiser les risques pour les parties impliquées. En effet, l’absence d’annexes détaillées peut créer une incertitude quant aux engagements et aux responsabilités de chacun.

Voici les documents essentiels, sans s’y limiter, à prévoir dans un contrat SaaS.

1. Annexe – Description des services

Cette annexe précise ce que couvre le service SaaS :

Fonctionnalités du logiciel et périmètre des services (hébergement, maintenance, support, mises à jour, etc.).
Spécifications techniques et prérequis nécessaires à l’utilisation.
Tarification et facturation (montant, périodicité, conditions de révision des prix).
Coûts additionnels liés aux options ou dépassements de consommation.

C’est une annexe très importante dans la mesure où elle va permettre à un tiers (par exemple un juge en cas de litige) de comprendre l’objet du logiciel et son mode de fonctionnement.

2. Annexe – Accord de niveau de service (SLA)

Le SLA fixe les engagements du prestataire en matière de performance :

Disponibilité garantie (ex. 99,9 % du temps).
Délais d’intervention et de résolution en cas d’incident.
Indicateurs de performance (KPI) et modalités de suivi.
Pénalités en cas de non-respect des engagements.

Ce document protège le client en cas de défaillance et incite le prestataire à garantir un service optimal. Je vous renvoie à mon article rédigé précédemment à ce sujet, qui vous donnera plus de détails à ce sujet.

3. Annexe – Clauses sur la protection des données personnelles (DPA)

Lorsqu’un prestataire SaaS traite des données personnelles pour le compte d’un client, un Data Processing Agreement (DPA) est obligatoire, afin de respecter l’Article 28 du RGPD. Ce document formalise notamment :

Les finalités et catégories de données traitées, les personnes concernées par le traitement, et la nature des opérations réalisées sur les données personnelles.
Les responsabilités du prestataire en tant que sous-traitant.
Les obligations de notification en cas de violation des données.
Les conditions de restitution ou suppression des données en fin de contrat.

Il est possible d’utiliser des clauses proposées par la CNIL comme base de travail afin de s’assurer d’inclure les éléments essentiels.

4. Annexe – Plan d’assurance qualité et sécurité

Ce plan décrit les stratégies du prestataire pour garantir une infrastructure résiliente en matière de sécurité et de qualité du service, en intégrant des processus d’amélioration continue et des contrôles qualité rigoureux pour répondre aux exigences du marché :

Certifications de sécurité (ISO 27001, SOC 2, etc.) à maintenir pendant la durée du contrat.
Plans de reprise et de continuité d’activité (sauvegardes, tests de restauration).
Gestion des incidents et protocoles d’intervention.
Sécurité des infrastructures (chiffrement, accès restreint, redondance des systèmes).
Protection des données contre les intrusions et pertes.
Gestion des incidents en cas de faille de sécurité.

Il peut également prendre la forme d’un document de sécurité. Je recommande qu’il soit rédigé par l’équipe technique ou sécurité, et qu’il soit relu par l’équipe juridique, afin d’éviter toute contradiction entre ce document et le contrat.

Conclusion

Il est possible d’inclure d’autres annexes lorsque cela est pertinent pour le projet ou requis par les politiques contractuelles d’une des parties (par exemple un code de conduite, etc).

D’une manière générale, intégrer ces annexes dans un contrat SaaS n’est pas uniquement une mesure pour anticiper les risques et éviter les litiges, mais constitue une étape cruciale, trop souvent négligée, qui renforce la sécurité juridique et améliore la transparence des engagements. Ces documents annexes méritent une attention particulière et ne sont pas secondaires.

Que vous soyez prestataire ou client, peux vous assister pour rédiger, relire et renforcer vos contrats SaaS et leurs annexes, afin de vérifier que tous les éléments nécessaires y figurent et mieux protéger vos intérêts.