Un contrat SaaS bien structuré ne se limite pas aux obligations principales des parties. Il est donc essentiel de ne pas négliger les annexes.

Il est primordial d'inclure des annexes adaptées afin que le lecteur, n'ayant pas participé aux échanges de négociation, puisse comprendre clairement l'objet du contrat, et de minimiser les risques pour les parties impliquées. En effet, l'absence d'annexes détaillées peut créer une incertitude quant aux engagements et aux responsabilités de chacun.

Voici les documents essentiels, sans s'y limiter, à prévoir dans un contrat SaaS.

1. Annexe — Description des services

Cette annexe précise ce que couvre le service SaaS :

  • Fonctionnalités du logiciel et périmètre des services (hébergement, maintenance, support, mises à jour, etc.).
  • Spécifications techniques et prérequis nécessaires à l'utilisation.
  • Tarification et facturation (montant, périodicité, conditions de révision des prix).
  • Coûts additionnels liés aux options ou dépassements de consommation.

C'est une annexe très importante dans la mesure où elle va permettre à un tiers (par exemple un juge en cas de litige) de comprendre l'objet du logiciel et son mode de fonctionnement.

2. Annexe — Accord de niveau de service (SLA)

Le SLA fixe les engagements du prestataire en matière de performance :

  • Disponibilité garantie (ex. 99,9 % du temps).
  • Délais d'intervention et de résolution en cas d'incident.
  • Indicateurs de performance (KPI) et modalités de suivi.
  • Pénalités en cas de non-respect des engagements.

Ce document protège le client en cas de défaillance et incite le prestataire à garantir un service optimal. Pour aller plus loin, consultez mon article sur les bonnes pratiques SLA.

3. Annexe — Clauses sur la protection des données personnelles (DPA)

Lorsqu'un prestataire SaaS traite des données personnelles pour le compte d'un client, un Data Processing Agreement (DPA) est obligatoire, afin de respecter l'article 28 du RGPD. Ce document formalise notamment :

  • Les finalités et catégories de données traitées, les personnes concernées par le traitement, et la nature des opérations réalisées sur les données personnelles.
  • Les responsabilités du prestataire en tant que sous-traitant.
  • Les obligations de notification en cas de violation des données.
  • Les conditions de restitution ou suppression des données en fin de contrat.

Il est possible d'utiliser des clauses proposées par la CNIL comme base de travail afin de s'assurer d'inclure les éléments essentiels. La gestion des sous-traitants et de leurs accès aux données doit également être traitée dans le DPA.

4. Annexe — Plan d'assurance qualité et sécurité

Ce plan décrit les stratégies du prestataire pour garantir une infrastructure résiliente en matière de sécurité et de qualité du service :

  • Certifications de sécurité (ISO 27001, SOC 2, etc.) à maintenir pendant la durée du contrat.
  • Plans de reprise et de continuité d'activité (sauvegardes, tests de restauration).
  • Gestion des incidents et protocoles d'intervention.
  • Sécurité des infrastructures (chiffrement, accès restreint, redondance des systèmes).

Il peut également prendre la forme d'un document de sécurité. Je recommande qu'il soit rédigé par l'équipe technique ou sécurité, et qu'il soit relu par l'équipe juridique, afin d'éviter toute contradiction entre ce document et le contrat. Pour approfondir le sujet de la sécurité dans un contrat SaaS, consultez l'article dédié.

5. Annexe — Plan de réversibilité

Un plan de réversibilité précise les conditions d'export des données en fin de contrat : formats de restitution, délais, assistance éventuelle du prestataire. Depuis l'entrée en application du Data Act, la portabilité des données est devenue un droit renforcé pour les clients SaaS. Anticiper cette annexe évite les blocages au moment de la sortie et démontre la transparence de l'éditeur. Pour en savoir plus sur ce sujet, consultez l'article sur la résiliation et le Data Act.

Conclusion

Il est possible d'inclure d'autres annexes lorsque cela est pertinent (code de conduite, plan de formation, etc.). Mais les annexes décrites ci-dessus constituent le socle minimum d'un contrat SaaS bien structuré. Les négliger, c'est créer des zones d'ombre qui se transforment en litiges. Pour une vue d'ensemble complète, consultez le guide de contractualisation SaaS. Si vous souhaitez revoir vos annexes, prenez rendez-vous.

Nos autres ressources


Blog image
Data Act et CSM : pourquoi les Customer Success Managers sont en première ligne

Le Data Act transforme la relation client SaaS. Résiliation facilitée, portabilité des données, fin du lock-in : les CSM sont au cœur de cette transition.

Lire Plus
Blog image
CLM en startup : pourquoi un avocat pour le déployer

Pourquoi et comment un avocat peut structurer le déploiement d’un CLM en startup, sécuriser les contrats, les templates et les playbooks sans équipe juridique interne.

Lire Plus

Avançons ensemble pour accélérer votre activité

Prendre rendez-vous
Contactez-moi

J'accompagne les éditeurs de logiciels et de SaaS depuis plus de 10 ans, pour structurer leur activité, protéger leur propriété intellectuelle et améliorer leurs contrats.

Pacaud Avocat - Accueil
Pages
AccueilServicesMatthieu PacaudTarifsRessourcesGuide contrats SaaSGuide dépôt de marqueContact
Services
Gestion de vos contratsPropriété intellectuelleCommerce électroniqueDétachementRésilier mon SaaS
Legal
Mentions légalesPolitique de confidentialité
Bannière de consentement

Ourama - Création de site internet pour avocats