Les Risques Juridiques des Solutions SaaS : comment les maîtriser ?

Pour une entreprise, la mise en œuvre d’une solution SaaS offre de multiples avantages. Toutefois, choisir de passer au mode “Software as a Service” nécessite une grande vigilance sur le plan juridique. Alors, comment maîtriser les risques juridiques des solutions SaaS ? Touati La Motte Rouge, cabinet d’avocats spécialisé en droit de l’informatique, vous explique tout cela en détail.

Solutions SaaS : de quoi s'agit-il ?

Apparues dans les années 90, les solutions SaaS sont aujourd’hui présentes dans presque tous les secteurs, de la gestion des ressources humaines à la finance, en passant par la santé, l'éducation, le marketing web où la publicité. Avant de découvrir les risques juridiques du SaaS et les solutions pour y remédier, revenons un instant sur sa définition.

Définition des solutions SaaS

La technologie SaaS, acronyme de « Software as a Service » ou « logiciel en tant que service » en français, est une application logicielle, hébergée dans le cloud, et gérée à distance par un tiers, le fournisseur de service. La plupart du temps, l'hébergement est réalisé sur des serveurs mutualisés. On parle toutefois de SaaS dédié lorsque les données de l’entreprise ne côtoient jamais les serveurs physiques ou les données des autres clients.

En pratique, le logiciel n’est pas installé sur les serveurs propres de l’entreprise cliente et les données sont hébergées directement sur le cloud. Chaque utilisateur dispose d’un compte lui permettant d’accéder à la solution via une connexion internet, en fonction de ses besoins. Des niveaux de droit d’accès différents peuvent être configurés.

Les solutions Saas se distinguent donc des logiciels On-Premise, installés directement sur les serveurs ou les ordinateurs de l’entreprise. Ces applications Sur-Site sont exploitées dans le cadre d’une licence.

L’utilisation des solutions SaaS est généralement facturée sous forme d’un abonnement mensuel ou annuel, variable en fonction du nombre d’utilisateurs ou du volume de consommation. Il inclut la mise à disposition de l’application, sa maintenance évolutive et corrective, ainsi que ses mises à jour.

Bon à savoir : l’IaaS (Infrastructure as a Service), c’est quoi exactement ?

L’IaaS est le pendant du SaaS pour l’infrastructure. En clair, l'organisation loue une machine virtuelle, dotée de mémoire et de puissance de calcul (une infrastructure). Elle doit ensuite acquérir les licences des logiciels à installer dans cette infrastructure.

Exemples de solutions SaaS

Un grand nombre d'applications sont aujourd’hui disponibles en mode Asp ou SaaS. Les particuliers en utilisent tous les jours, souvent sans même le savoir. Gmail ou DropBox sont des exemples de logiciels Asp. Ces derniers sont simplement hébergés à distance et mis à disposition des clients, via Internet. Les solutions SaaS vont encore plus loin puisqu'elles proposent des solutions modulaires, adaptables aux besoins spécifiques des clients.

Pour les organisations, il existe une multitude d’applications nouvelles dans de nombreux domaines, disponibles en mode “Software as a Service”. Leur mise en place joue d'ailleurs un rôle essentiel dans leur fonctionnement quotidien. Elle est notamment très utile pour optimiser leur process. C’est le cas par exemple :

• Des solutions de gestion de relation clients ou CRM ;
• Des solutions de gestion des ressources humaines ;
• Des ERP (Entreprise Resource Planning) permettant aux entreprises de gérer leurs activités quotidiennes (comptabilité, achats, conformité et risques, etc.) ;
• Des solutions collaboratives et de communication permettant le partage d’agenda, la mise en place de systèmes de conférence ou encore l'amélioration de la gestion de projet au sein de l'organisation. L’utilisation de ce type d'outils numériques relève de la politique interne de l'entreprise. Objectif : promouvoir une communication transparente et efficace entre les équipes, en particulier dans un environnement de travail distribué.

Quels sont les avantages des solutions hébergées ?

Parmi les avantages offerts par les solutions SaaS, on retrouve notamment les catégories suivantes :

• Une diminution des coûts d’entrée : les logiciels ne sont pas installés sur l’infrastructure propre de l’entreprise. Cette dernière n’a donc pas à acquérir de licence pour une utilisation en interne ;
• Une meilleure gestion du budget grâce à la souscription d'un abonnement. Cela peut être intégré dans la politique interne pour assurer une gestion financière plus prévisible.
• Une flexibilité accrue : les solutions SaaS sont paramétrables. Elles s'adaptent donc au fonctionnement et aux besoins internes de l’entreprise en terme d'usage (nombre d’utilisateurs, etc.) ;
• Une mobilité renforcée : c'est un des points souvent mis en avant par les éditeurs. Hébergées dans le cloud (ou nuage en français), les solutions SaaS sont accessibles en ligne partout, depuis n’importe quel support (ordinateur fixe, tablette, smartphone, etc). Les utilisateurs ont seulement besoin d’un accès à Internet pour accéder au logiciel, depuis leur navigateur ;
• Une maintenance facilitée : elle est assurée par le prestataire cloud qui réalise les mises à jour du système et des applications. L'organisation est certaine de profiter de la dernière version du logiciel ;
• Une meilleure sécurité des données : avec cet outil numérique, le prestataire se charge de la sécurisation des données et de leur stockage.

Le choix de la solution dépend des besoins présents et futurs de l'entreprise. Il relève d'une véritable politique en matière d'organisation interne. Elle peut alors se concentrer sur des tâches à plus forte valeur.

Quels sont les risques des solutions SaaS et comment y remédier ?

La démarche de transition vers le mode SaaS requiert une attention particulière lors de la négociation et de la rédaction du contrat informatique avec le prestataire. Les risques juridiques des solutions cloud computing ne sont pas négligeables. Des aspects fondamentaux tels que la confidentialité, la protection des données personnelles ou encore la continuité de service exigent ainsi une vigilance accrue.

Les risques liés aux data

L'utilisation et le développement d’une solution SaaS présente de nombreux risques au regard :

• De l’accès aux données et aux applications : l’accès aux serveurs distants implique des connexions sécurisées et une authentification des utilisateurs. La gestion des identifiants et des responsabilités en cas d'accès non autorisé, de perte ou de vol d’identifiants, de niveau d’habilitation, se posent nécessairement ;
• De la perte ou de la dégradation des informations dans l'environnement d'hébergement ;
• De la confidentialité des données transmises à l'éditeur.

Il est impératif d'anticiper et d'encadrer ces risques d'un point de vue contractuel.

En premier lieu, avant de choisir son prestataire informatique, l'organisation doit vérifier les garanties offertes par ce dernier. Cela peut se faire à l’occasion d’un audit réalisé avant même le début des pourparlers. Dans le contrat, il sera, par ailleurs, nécessaire de prévoir la possibilité d’effectuer un audit technique, à tout moment. La question de la prise en charge des coûts engendrés devra faire l’objet d’une négociation entre les parties.

Une attention particulière doit être portée à l'intégration d'une clause de confidentialité renforcée, assortie d'une clause pénale. Cette dernière vise à prévoir une indemnisation en cas de non-respect des engagements du fournisseur en matière de confidentialité.

Autre élément à prendre en compte, le contrat cloud doit intégrer des dispositions spécifiques concernant le cryptage des données ainsi que leur traçabilité. La mise en œuvre de procédures de sauvegarde est également incontournable.

La clarté de ces clauses du contrat informatique contribue à définir des normes de sécurité robustes. Elles assurent une protection adéquate des informations sensibles, conformément aux standards de l'industrie.

Les risques liés au RGPD

Cette réglementation européenne impose aux entreprises, responsables des traitements, de s'assurer du respect de ses dispositions par leurs fournisseurs (article 28). Les conséquences en cas de non-conformité sont lourdes. Les sanctions peuvent, en effet, atteindre jusqu'à 4 % de votre chiffre d'affaires ou 20 millions d'euros sur une année.

Le RGPD restreint notamment l’exportation de données à caractère personnel hors de l’Union européenne. L’entreprise doit donc vérifier que les serveurs du fournisseur sont bien situés en Europe. Cette contrainte concerne également les serveurs de sauvegarde. Soyez également attentif à la localisation du support. En cas d'incident, certaines données peuvent être envoyées hors d’Europe par Internet. L’utilisation de moyens de communication comme Gmail pour l’envoi de données de support peuvent constituer une violation du RGPD.

Le transfert de données à caractère personnel vers un pays tiers doit être soumis à votre autorisation expresse préalable. Le contrat SaaS doit prévoir un encadrement spécifique, notamment par des clauses contractuelles types. Si un transfert est opéré vers les États-Unis, un chiffrage supplémentaire des données est conseillé.

Par ailleurs, le RGPD vous impose de signaler à la CNIL toute atteinte à des données personnelles dans un délai de 72 heures. Dans le cadre d’une solution SaaS, le fournisseur est le seul à avoir connaissance d’une potentielle violation de sécurité. Le contrat doit donc lui imposer de vous informer immédiatement, en cas de fuite de données ou d’accès non autorisé. Les rôles et les responsabilités de chacun doivent, par ailleurs, être très clairement établis.

Rappelons enfin que le fournisseur peut lui-même confier une partie de ses obligations à un sous-traitant. Dans ce contexte, l'entreprise cliente doit maintenir une gestion rigoureuse de la chaîne des responsabilités et des exigences élevées. Elle doit notamment être en mesure de refuser l’implication d’un tiers dans le processus d’externalisation.

Les risques liés aux services

L’importance des pourparlers

L'inadéquation des solutions proposées par un prestataire par rapport aux besoins spécifiques de l'entreprise peut donner lieu à des problèmes majeurs (retards de livraison, complications liées à un cahier des charges mal compris ou mal exprimé).

Si des pourparlers ont lieu, ils doivent être menés de manière rigoureuse, avec l’assistance d’un avocat spécialisé. Le besoin de l'entreprise doit être articulé de manière précise, dans la durée. Quant au prestataire, il doit faire preuve d'une écoute attentive.

Conformément aux obligations d'information précontractuelle entre professionnels, le fournisseur est tenu de transmettre toutes les informations déterminantes pour le consentement de l’entreprise cliente. En cas de litige, sa responsabilité peut être engagée.

Les risques juridiques SaaS liés à la disponibilité du service

Dans le cadre de la mise en œuvre d'une externalisation, l'entreprise perd la maîtrise de ses applications et données. Le contrat SaaS et son SLA (Service Level Agreement) doivent donc lui garantir la possibilité d'y accéder ou de les récupérer à tout moment.

Ainsi, une grande part de la négociation se focalise sur l'obtention d'une disponibilité de service maximale. En parallèle, des pénalités doivent être prévues en cas de dégradation de la performance des applications ou de la plateforme.

Une clause doit également permettre la résiliation automatique du contrat SaaS, en cas de baisse de service critique, ayant un impact majeur sur les opérations de l'entreprise. Dans ce cas de figure, un plan de réversibilité doit être prévu dans le SLA. Ce document tient une place essentielle dans les négociations. Il permet d’assurer une fin adaptée de la relation contractuelle en permettant une transition fluide. L'objectif de ce plan est de minimiser les perturbations opérationnelles et techniques, en cas de changement de fournisseur ou de reprise en main des opérations en interne. Le coût de cette réversibilité doit également être anticipé.

Les risques financiers

La maîtrise des coûts dans le cadre des contrats SaaS revêt une importance capitale. Les clauses tarifaires peuvent manquer de transparence et contenir des coûts cachés. Cette opacité accroît le risque de contestation de facture et de non-paiement. Afin d'éviter ces écueils, il est impératif de négocier et de bien définir en amont les indicateurs de consommation (volumes, nombre d’utilisateurs, etc.).

Le renouvellement de la solution SaaS est une question essentielle qui nécessite aussi une attention particulière. Ces contrats contiennent, le plus souvent, une clause de tacite reconduction. À cette occasion, le fournisseur peut décider d’augmenter fortement ses prix. Il s’agit d’un risque majeur pour les entreprises. Il est donc recommandé d'inclure dans le contrat une disposition spécifique plafonnant la hausse des prix lors du renouvellement. Cette mesure préventive a pour but d'assurer une prévisibilité financière. Elle évitera des augmentations inattendues qui pourraient impacter significativement le budget de l'entreprise cliente.

Afin de tirer pleinement parti des avantages offerts par les solutions SaaS, il est impératif de bien appréhender les risques possibles associés à cet investissement. Ce type de projet est par ailleurs complexe, aussi bien d'un point de vue technique que juridique. Dans cette perspective, l'assistance d'un avocat spécialisé en cloud computing s'avère indispensable, lors des phases de négociation et de rédaction de votre contrat d’externalisation. Pour un accompagnement expert et personnalisé, contactez TLMR.