Le contrat SaaS B2B encadre la fourniture d'un service en ligne, l'accès aux données et la sortie du contrat. Une clause mal rédigée et c'est l'impossibilité de migrer ou un trou dans la couverture RGPD qui coûte cher au moment du contrôle CNIL.

1. SLA et pénalités

Taux de disponibilité (99,5 % à 99,99 % selon criticité), fenêtre de maintenance hors heures ouvrées, temps de rétablissement (RTO) et temps de perte de données admissible (RPO), pénalités plafonnées et plancher à partir desquelles elles s'appliquent. Les SLA "best effort" non chiffrés sont juridiquement faibles.

2. Réversibilité et exit

Format ouvert d'export (CSV, JSON, formats standards), accompagnement à la migration (en jours/homme), durée de mise à disposition post-contrat (3 à 12 mois), coût de la réversibilité. Sans clause de réversibilité solide, le client est captif.

3. Données et RGPD

Annexe DPA conforme à l'art. 28 RGPD, encadrement des sous-traitants ultérieurs (autorisation préalable ou liste avec délai d'opposition), transferts hors UE (clauses contractuelles types 2021, certification Data Privacy Framework), durée de conservation post-contrat, mesures de sécurité, notification de violation.

4. IP et licence

Périmètre de la licence (utilisateurs nominatifs ou flottants, sites, géographies), interdictions (reverse engineering, benchmark public), garantie d'éviction sur la solution (couverture contrefaçon), propriété des développements spécifiques.

5. Limitation de responsabilité

Plafond souvent à 12 mois de redevances, exclusion des dommages indirects (perte de chance, perte de chiffre d'affaires), dérogations classiques (faute lourde, atteinte à la confidentialité, violation IP, dommages corporels). La validité dépend du respect des obligations essentielles (jurisprudence Faurecia/Oracle).

6. Audit et conformité

Droit d'audit du client sur l'éditeur (souvent une fois par an), préavis raisonnable, frais à la charge du demandeur sauf manquement avéré.

7. Évolution de la solution

Encadrement des modifications unilatérales, préavis en cas de breaking change, garantie de continuité fonctionnelle, gestion des deprecations API.

8-10. Prix, durée, fin du contrat

Indexation transparente (SYNTEC ou indice publié), engagement de durée et conditions de renouvellement (tacite ou exprès), motifs de résiliation pour faute, sortie pour cause d'incident majeur de sécurité.

AI Act et Data Act

Pour les SaaS intégrant de l'IA : conformité AI Act 2024/1689, marquage des contenus générés, gouvernance des données d'entraînement. Pour les SaaS B2B traitant des données IoT : conformité Data Act 2024.

Questions fréquentes

Quel SLA minimum pour un SaaS critique ?

99,9 % minimum, idéalement 99,95 % avec pénalités significatives.

Faut-il un escrow code source ?

Recommandé pour les SaaS de mission critique avec un éditeur jeune ou de petite taille.

Validité d'une limitation de responsabilité ?

Maintenue si proportionnée et si l'éditeur respecte ses obligations essentielles ; sinon écartée par le juge.

Voir notre page contrats et notre article RGPD PME 2026.