Pannes et sécurité d'un contrat SaaS - quel aménagement contractuel ?

Un contrat SaaS définit les obligations du prestataire et du client. Mais jusqu’où s’étend réellement la responsabilité de l’éditeur du logiciel ? En cas de panne, de perte de données ou de cyberattaque, qui assume les conséquences ? Une mauvaise répartition contractuelle des risques peut coûter cher.

Voici ce qu’il faut savoir pour sécuriser votre contrat.

Quelles sont les conséquences à prévoir au sein du contrat SaaS en cas de panne ?

Le prestataire SaaS garantit en général un niveau de disponibilité via un SLA (Service Level Agreement). Ce document fixe le taux d’accessibilité du service (ex. : 99,9 %), les délais d’intervention et les compensations en cas de non-respect. Le prestataire SaaS est responsable du bon hébergement de son service. Il doit s'assurer d'avoir des garanties contractuelles solides avec son propre hébergeur afin de limiter son exposition aux risques.

Les points suivants sont à vérifier dans le contrat entre l'éditeur SaaS et le client.

Côté client :

• Vérifiez les engagements chiffrés du SLA.
• Regardez si des pénalités financières sont prévues et les sanctions d'un manquement répété du SLA.
• Anticipez les impacts d’une interruption prolongée sur votre activité.

Côté fournisseur :

• Définissez des KPI réalistes et atteignables.
• Encadrez votre responsabilité pour éviter une indemnisation excessive - il est important de prévoir un bon équilibre entre les pénalités du SLA et les clauses de limitation de responsabilité.
• Prévoyez des exclusions en cas de force majeure ou de faute du client.

Qui assume les pertes de données ?

La sauvegarde des données est un point sensible. Un prestataire SaaS a systématiquement une obligation de sauvegarde des données en raison de la nature de son service. Un contrat SaaS doit préciser qui est responsable de la conservation et de la récupération des informations en cas d’incident.

Côté client :

• Vérifiez si le prestataire s’engage sur des sauvegardes régulières.
• D'une manière générale, assurez-vous que la réversibilité des données est prévue au sein du contrat.
• Maintenez des copies indépendantes si les informations sont critiques. Le prestataire SaaS doit vous permettre de réaliser cette sauvegarde à tout moment.

Côté fournisseur :

• Indiquez clairement la fréquence et la durée de rétention des sauvegardes.
• Limitez votre responsabilité en cas de suppression accidentelle par le client.
• Prévoyez une procédure de restitution des données en fin de contrat.

Qui est responsable en cas de cyberattaque ?

Une attaque informatique peut entraîner un vol de données ou une interruption du service. Le prestataire SaaS a systématiquement une obligation de sécurité, mais son périmètre varie selon le contrat. Il doit garantir un niveau de protection conforme au standard de l'industrie, et assurer la surveillance de son infrastructure, la gestion des accès et la protection des données clients. La responsabilité du prestataire dépend toutefois des engagements contractuels définis avec précision dans le contrat.

Côté client :

• Vérifiez les mesures de sécurité mises en place (chiffrement, contrôle des accès, etc.) et assurez-vous qu'elles correspondent à vos standards.
• Regardez si une obligation de notification rapide est prévue.
• Vérifier l'étendue de votre droit d'audit, notamment en cas d'urgence.

Côté fournisseur :

• Si vous disposez d'une certification de sécurité, assurez-vous d'en maintenir les standards.
• Instaurez un plan de réponse aux incidents pour minimiser l’impact. Ce document peut être fourni au client sur demande.

Je peux vous aider à négocier ou rédiger un contrat SaaS intégrant des clauses de sécurité adaptées aux exigences réglementaires et aux risques spécifiques de votre activité.