Contrat SaaS : ce que vous signez vraiment en tant que client
Janvier 2025. La PME de Grégoire change d’ERP, et cinq ans de données clients, d’historiques de commandes, de documents comptables se retrouvent chez l’ancien fournisseur. L’équipe IT demande l’export. Le fournisseur répond que l’export est possible, en format JSON propriétaire, pour 4 000 euros et dans un délai de six semaines.
Grégoire rappelle son interlocuteur commercial, qui se montre compréhensif mais ferme. Ce n’est pas un dysfonctionnement, ce n’est pas une erreur de facturation : c’est la page 8 des CGU, article 12.3, « La restitution des données s’effectue dans le format natif de la plateforme, selon les tarifs en vigueur », signé il y a cinq ans, sans négociation, sans même avoir lu cette clause.
La situation de Grégoire est un cas d’école, mais les clauses qui l’ont mis en difficulté sont dans des milliers de contrats signés aujourd’hui. Ce qui l’a surpris n’est pas le coût : c’est de réaliser qu’il n’a jamais vraiment possédé ses propres données. Il y avait accès, ce qui n’est pas tout à fait la même chose.
Un contrat SaaS vous donne un droit d’accès, pas la propriété d’un logiciel. Les termes de cet accès, vous les avez acceptés au moment de renseigner votre carte bancaire. Ce que vous signez quand vous souscrivez un outil de gestion, de CRM ou de facturation mérite d’être lu, pas pour y trouver des pièges, mais pour savoir précisément ce que vous achetez.
Ce que recouvre juridiquement un abonnement SaaS
La plupart des dirigeants qui souscrivent un abonnement SaaS pensent acheter un logiciel. Ils achètent en réalité un droit d’accès limité dans le temps, révocable, et encadré par des conditions que l’éditeur peut modifier sans votre accord. La nuance est juridique, mais ses conséquences sont très concrètes.
Prenons les CGU de Zoho, l’un des éditeurs SaaS les plus utilisés dans le monde par les PME et startups. Elles tiennent en quelques pages, rédigées en anglais, et leur section « Description of Service » est limpide : Zoho vous fournit un accès à ses logiciels en ligne. Pas un logiciel. Un accès. La différence ? Le jour où Zoho décide de fermer votre compte – pour inactivité, suspicion de violation des CGU, ou simplement parce que la société est rachetée – vous perdez cet accès. Et avec lui, tout ce que vous y avez stocké.
Vous n’êtes pas propriétaire de votre accès
Le droit que vous achetez est strictement personnel, non cessible, non transférable. Vous ne pouvez pas le revendre, le transmettre à un successeur dans le cadre d’une cession d’entreprise sans renégocier le contrat, ni l’apporter en garantie. Sur ce point, Zoho et tous les éditeurs SaaS du marché sont identiques : ce que vous payez chaque mois ne vous appartient pas au sens patrimonial du terme. Vous louez, vous n’achetez pas.
Ce que vous possédez en revanche, ce sont vos données. Les CGU Zoho le reconnaissent dans leur section “Data Ownership” : “You own the content created or stored by you.” C’est une protection réelle, mais elle ne répond qu’à la moitié de la question. Vous êtes propriétaire de vos données, certes. Mais êtes-vous en mesure de les récupérer le jour où vous partez, ou le jour où Zoho décide de vous mettre dehors ?
Ce que « résiliation » veut dire dans un contrat SaaS
Dans un contrat classique de prestation de services, la résiliation ouvre une période de transition ordonnée. Dans un contrat SaaS standard, elle déclenche une horloge. Les CGU Zoho stipulent que la résiliation entraîne « deletion of all data in your user account ». Sans délai de récupération garanti. Sans format d’export imposé. Sans obligation spontanée de Zoho de vous restituer quoi que ce soit.
Zoho va plus loin encore : la société se réserve le droit de fermer unilatéralement tout compte inactif pendant 120 jours consécutifs, avec suppression de l’ensemble des données associées. Une entreprise dont l’abonnement est géré par un collaborateur parti sans passer les consignes, ou dont le renouvellement automatique a échoué pour un problème de carte bancaire, peut se retrouver dans cette situation sans l’avoir anticipé.
Comparez avec Pennylane, pourtant l’un des contrats les mieux rédigés du marché français : l’article 11.3.9 de ses CGSU prévoit explicitement une période de récupération de 30 jours, avec export possible des données y compris le fichier des écritures comptables (FEC). Ce n’est pas parfait, la charge de l’export repose entièrement sur le client, mais c’est incomparablement plus protecteur que le silence des CGU Zoho sur le sujet.
Ce que ça change pour vous, concrètement
Si vous utilisez un SaaS pour gérer votre comptabilité, votre CRM, votre facturation ou vos RH, vous avez confié à un tiers l’accès opérationnel à des données critiques pour votre activité. Ces données existent, elles vous appartiennent, mais leur accessibilité dépend entièrement de la continuité de votre relation contractuelle avec l’éditeur, et des modalités de sortie prévues au contrat. Deux choses que la quasi-totalité des dirigeants n’ont jamais lues avant de cliquer sur « J’accepte ».
Trois risques principaux à soulevés
Risque n°1 : Vos données peuvent disparaître sans que vous l’ayez décidé
Voici une clause que la quasi-totalité des dirigeants n’ont jamais lue. Les CGU Zoho, section « Inactive User Accounts Policy », sont sans ambiguïté : Zoho se réserve le droit de supprimer tout compte inactif pendant 120 jours consécutifs, avec l’ensemble des données associées. Un préavis sera envoyé, mais à l’adresse email du compte. Celle du collaborateur qui a souscrit l’abonnement en 2021 et qui est parti depuis. Celle que personne ne consulte plus.
Ce scénario n’est pas théorique. Un renouvellement automatique qui échoue sur une carte bancaire expirée, un abonnement géré par un prestataire externe sans passation de consignes, une période creuse d’activité dans une entreprise saisonnière et l’horloge tourne. Au bout de 120 jours, Zoho exécute. La section « Suspension and Termination » confirme que la résiliation entraîne « deletion of all data in your user account » sans délai de récupération garanti, sans format d’export imposé, sans obligation spontanée de restitution.
Pennylane, à titre de comparaison, prévoit à l’article 11.3.9 de ses CGSU une période de récupération explicite de 30 jours calendaires après toute résiliation, quelle qu’en soit la cause, pendant laquelle le client peut exporter ses données y compris le FEC. Ce n’est pas une générosité particulière : c’est un dispositif de réversibilité structuré, explicitement présenté comme une mise en conformité avec le Data Act européen. Les CGU générales de Zoho, dans leur version publiée en ligne, ne contiennent pas d’équivalent — ni clause de réversibilité formalisée, ni référence au Data Act, ni période transitoire garantie après résiliation.
Risque n°2 : Si ça plante, vous ne serez pas indemnisé à la hauteur du préjudice réel
Ouvrez la section « Limitation of Liability » des CGU Zoho. Elle est rédigée en majuscules ce qui est, en droit américain, la manière de s’assurer que le client ne pourra pas dire qu’il ne l’avait pas vu. Le plafond d’indemnisation de Zoho est fixé à 1.000 dollars, ou au montant des abonnements des 12 derniers mois si ce montant est supérieur.
Mettez ce chiffre en face de votre réalité : votre CRM est inaccessible pendant 72 heures en période de clôture commerciale. Votre logiciel de facturation tombe le jour où vous devez émettre une série de factures pour déclencher un paiement fournisseur critique. Le préjudice réel peut se chiffrer en dizaines de milliers d’euros – perte de marge, pénalités contractuelles, coût de reconstitution des données. Zoho vous devra 1.000 dollars. Et encore, à condition de prouver la faute, de saisir une juridiction compétente – dont la localisation dépend, selon les CGU Zoho, de votre adresse de facturation au moment de l’inscription, potentiellement américaine et d’obtenir gain de cause.
Pennylane plafonne également sa responsabilité, mais dans le cadre du droit français, devant les juridictions françaises, avec un plafond indexé sur les sommes effectivement versées sur les 12 derniers mois. Ce n’est pas parfait, mais c’est un plafond négociable, devant un juge accessible, dans une langue que vous comprenez.
Risque n°3 : Partir peut-être plus compliqué que vous ne le pensez
Le troisième risque est le plus insidieux parce qu’il vient de ce que votre contrat ne dit pas.
Zoho ne prévoit aucune clause de réversibilité structurée. Aucun format d’export garanti. Aucun SLA de restitution. Aucune période transitoire pendant laquelle vous continuez à accéder à la plateforme le temps de migrer vers un concurrent. Quand vous résiliez, vous résiliez et ce que vous pouvez récupérer dépend des fonctionnalités d’export disponibles ce jour-là dans l’interface, pas d’une obligation contractuelle.
Si vous utilisez Zoho CRM depuis trois ans et que vous avez décidé de migrer vers un autre outil, voici ce que vous devez faire avant de cliquer sur « résilier » : exporter manuellement chaque module de données, vérifier la compatibilité du format avec votre nouveau système, reconstituer les historiques d’activité, et espérer que votre nouveau fournisseur accepte le format produit. Sans accompagnement contractuel de Zoho, sans garantie de complétude, et dans un délai que rien ne formalise.
Pour les entreprises dont un dossier est rattaché à un expert-comptable ce qui concerne directement les utilisateurs de solutions comptables comme Pennylane, le risque s’ajoute à un autre verrou : l’article 10.3.2 des CGSU Pennylane prévoit que le détachement du dossier requiert l’accord exprès de l’expert-comptable sortant. La résiliation de l’abonnement ne suffit pas. Un conflit avec votre cabinet au moment du départ, et vos données comptables restent techniquement bloquées dans l’environnement de la plateforme, hors de votre maîtrise directe. Même le meilleur élève de la classe a ses angles morts.
Le sous-traitant que vous n’avez pas choisi
Quand vous souscrivez à un SaaS, vous signez avec un éditeur. Mais vos données, elles, voyagent. Entre le moment où vous cliquez sur « enregistrer » et celui où votre information est stockée sur un serveur, elles peuvent transiter par deux, trois, voire quatre entités distinctes que vous n’avez jamais identifiées et avec lesquelles vous n’avez aucune relation contractuelle directe. C’est ce que les juristes appellent la sous-traitance en cascade et c’est l’un des angles morts les plus fréquents dans les contrats SaaS signés sans relecture.
Les CGU Zoho en sont l’illustration parfaite. La liste des sous-traitants de Zoho, accessible via un lien externe dans les CGU et modifiable unilatéralement, peut inclure des entités basées hors UE selon les services souscrits. La conséquence est directe : vos données comptables, vos données clients, vos fiches RH sont potentiellement hébergées sur des infrastructures américaines soumises au Cloud Act, une loi fédérale américaine qui autorise les autorités américaines à exiger l’accès à des données stockées par des entreprises américaines, y compris hors du territoire américain, sans que vous en soyez informé.
Votre responsabilité, pas celle de Zoho
C’est là que la mécanique du RGPD devient inconfortable pour vous. En tant que responsable de traitement – ce que vous êtes dès lors que vous collectez et traitez des données personnelles dans le cadre de votre activité – vous avez l’obligation de signer un DPA (Data Processing Agreement, ou Convention de Traitement des Données en français) avec chaque sous-traitant qui traite des données personnelles pour votre compte, conformément à l’article 28 du RGPD. Pas avec l’éditeur SaaS seulement, avec chacun de ses sous-traitants ultérieurs.
En pratique, vous ne négociez pas directement avec AWS ou Google Cloud. Vous vous reposez sur le fait que votre éditeur a conclu des DPA conformes avec ses propres sous-traitants. Mais si ce n’est pas le cas, si le DPA de votre éditeur exclut les sous-traitants en cascade ou ne les encadre pas correctement, c’est votre responsabilité qui est engagée devant la CNIL, pas celle de l’éditeur. Une amende CNIL pour défaut d’encadrement de la sous-traitance peut atteindre 2% du chiffre d’affaires annuel mondial. Ce n’est pas une sanction théorique : la CNIL a sanctionné des entreprises de taille modeste pour exactement ce motif.
Pennylane traite cette question de façon structurée et c’est l’une des différences les plus nettes avec Zoho. L’article 21 des CGSU précise que Pennylane reste « seule tenue du bon respect des obligations souscrites » en cas de sous-traitance, et assume la responsabilité vis-à-vis du client de tout manquement de ses sous-traitants. Mieux encore, l’Annexe 1 (Convention de Traitement des Données) prévoit à son paragraphe 21 une liste publique et maintenue à jour des sous-traitants ultérieurs, consultable en ligne, avec un mécanisme de notification 30 jours avant tout nouveau sous-traitant et un droit d’opposition du client, certes limité à une faculté de résiliation, mais au moins formalisé. L’hébergement est contractuellement garanti sur le territoire de l’Union européenne (art. 10.1.5 et Annexe 1, §20), ce qui neutralise le risque Cloud Act pour les données hébergées dans la Solution.
Le transfert hors UE : vérifier avant, pas après
Si votre fournisseur héberge tout ou partie de vos données aux États-Unis, les Clauses Contractuelles Types (CCT) post-arrêt Schrems II de 2020 doivent être en place. La Cour de Justice de l’Union européenne a invalidé le Privacy Shield en juillet 2020, ce qui signifie qu’un simple label de certification américain ne suffit plus à légitimer un transfert de données vers les États-Unis. Les CCT, introduites par la Commission européenne en 2021, constituent le mécanisme de remplacement, mais elles doivent être effectivement signées et accessibles dans le contrat. Sur ce point, les CGU Zoho sont muettes dans leur version générale : aucune mention des CCT, aucune garantie de localisation des données pour les clients européens sans démarche spécifique. C’est une vérification à faire impérativement avant la signature, et non six mois après la mise en production.
Ce qui se passe si votre fournisseur est racheté ou disparaît
C’est le risque que personne n’anticipe parce qu’il semble improbable au moment de la signature. Et pourtant, le marché SaaS est l’un des secteurs les plus actifs en matière d’acquisition : des dizaines d’éditeurs sont rachetés chaque année, par des fonds de private equity qui rationalisent les portefeuilles, par des concurrents qui acquièrent pour tuer, ou par des acteurs américains qui consolident le marché européen. La question est de savoir ce que votre contrat prévoit si cela arrive à votre fournisseur.
La réponse du droit commun est claire et peu rassurante : un contrat SaaS est cessible par le fournisseur dans le cadre d’une cession d’entreprise, sans votre accord, sauf stipulation contraire, c’est la règle posée par l’article 1216 du Code civil. Demain matin, votre fournisseur peut être racheté par un concurrent direct. Ce concurrent devient votre prestataire, accède à vos données, connaît vos volumes d’activité, vos clients, vos flux financiers. Votre seul recours, en l’absence de clause protectrice, est de résilier dans les délais et conditions prévus au contrat, avec les pénalités éventuelles qui s’y attachent.
La clause de change of control : rare, négociable, essentielle
La protection contre ce risque s’appelle une clause de change of control. Elle prévoit qu’en cas de changement de contrôle du fournisseur, rachat, fusion, prise de participation majoritaire, le client dispose d’une faculté de résiliation sans pénalité, dans un délai défini à compter de la notification de l’opération. C’est une clause que les éditeurs SaaS ne proposent jamais spontanément, pour une raison simple : elle fragilise la valeur de l’entreprise lors d’une cession, en permettant aux clients de partir sans coût.
Les CGU Zoho ne contiennent aucune clause de change of control. La section « General » prévoit que Zoho peut céder le contrat dans le cadre d’une fusion ou acquisition sans consentement du client. Vous êtes prévenu. Pennylane ne prévoit pas non plus de clause de change of control dans ses CGSU standard,c’est l’un des points résiduels à négocier avant la signature, précisément parce que le reste du contrat est bien rédigé et que cet ajout ciblé est parfaitement envisageable.
L’hypothèse de liquidation : vos données deviennent un actif de la masse
Le scénario le plus radical, et le moins préparé, est celui de la défaillance du fournisseur. En cas de procédure collective, le contrat SaaS peut être continué ou cédé par le liquidateur en application de l’article L. 641-11-1 du Code de commerce. Ce qui signifie concrètement que vos données hébergées chez un éditeur en liquidation deviennent un actif de la masse, potentiellement cédé à un repreneur que vous n’avez pas choisi, ou simplement inaccessible pendant la durée de la procédure.
Le délai moyen d’une liquidation judiciaire avant décision sur le sort des contrats en cours est de plusieurs semaines à plusieurs mois. Si votre comptabilité, votre CRM ou votre outil de facturation est inaccessible pendant cette période, le préjudice est réel et immédiat. Et contrairement à une résiliation classique, vous ne contrôlez ni le calendrier ni les conditions de récupération de vos données, c’est le mandataire judiciaire qui décide.
La seule protection efficace contre ce risque est contractuelle et préventive : une clause d’escrow des données, mécanisme par lequel une copie de vos données est déposée auprès d’un tiers séquestre indépendant, accessible à votre demande en cas de défaillance du fournisseur ou à défaut, une politique interne de sauvegarde régulière hors de la plateforme. Aucun éditeur SaaS grand public ne propose l’escrow spontanément. C’est une stipulation qui se négocie, et qui a un coût, mais infiniment inférieur au coût de reconstitution de trois ans de données comptables depuis des documents papier.
Ce qu’un avocat peut obtenir pour vous avant la signature
La plupart des dirigeants consultent un avocat après le problème. Après que le fournisseur a été racheté. Après que les données ont été supprimées. Après que la résiliation est devenue conflictuelle. À ce stade, le rôle de l’avocat est de limiter les dégâts et les dégâts sont souvent coûteux. Consulter avant la signature, c’est autre chose : c’est transformer un contrat d’adhésion standardisé en un contrat qui reflète réellement votre exposition au risque. Et contrairement à ce que beaucoup de dirigeants imaginent, cette négociation ne prend pas des semaines et ne nécessite pas de renégocier l’intégralité des conditions générales. Elle se concentre sur cinq points précis, sous forme d’avenant ou de conditions particulières.
La clause de réversibilité assistée
Ce que le contrat standard prévoit, dans le meilleur des cas, c’est que vous pouvez exporter vos données vous-même dans les 30 jours suivant la résiliation. Ce que vous voulez, c’est que le fournisseur produise lui-même une archive complète de vos données, dans un format défini contractuellement, dans un délai garanti, qu’il vous la restitue et qu’il maintienne votre accès à la plateforme jusqu’à confirmation de la réception et de la complétude de l’archive.
La différence entre les deux est simple : dans le premier cas, la charge et le risque sont entièrement sur vous. Dans le second, le fournisseur est débiteur d’une obligation de résultat sur la restitution. C’est négociable, surtout si vous représentez un volume d’abonnement significatif ou si vous contractez dans le cadre d’un déploiement multi-utilisateurs.
Le SLA de restitution des données
Annexe à la clause de réversibilité, le SLA de restitution formalise trois éléments que le contrat standard laisse dans le vague :
- Le périmètre exact des données restituées : liste contractuelle des types de données, modules concernés, historiques inclus et non un renvoi à une documentation externe modifiable unilatéralement.
- Le format garanti : FEC conforme DGFiP pour les données comptables, CSV avec spécification du délimiteur, version XLS compatible pas une formule générique « format lisible par machine ».
- Le coût : zéro, ou prédéterminé. Un fournisseur qui facture l’export à la sortie crée une barrière financière à la mobilité qui n’a aucune légitimité et que le Data Act tend précisément à neutraliser.
La clause de change of control
Comme analysé plus haut, votre fournisseur peut être racheté demain sans votre accord. La clause de change of control vous donne le droit de résilier sans pénalité dans les 60 à 90 jours suivant la notification d’un changement de contrôle du fournisseur. Elle doit préciser ce qui constitue un « changement de contrôle » – acquisition de la majorité du capital, fusion absorption, changement de l’actionnaire de contrôle – et le délai dans lequel le fournisseur est tenu de vous notifier l’opération. Sans cette notification, le délai de résiliation ne commence pas à courir : c’est un point à formaliser explicitement.
Le relèvement du plafond de responsabilité
Zoho vous indemnise à hauteur de 1 000 dollars. Pennylane plafonne sa responsabilité aux sommes versées sur 12 mois. Dans les deux cas, le plafond peut être très éloigné de votre préjudice réel en cas d’indisponibilité prolongée ou de perte de données. Ce plafond est négociable, pas illimité, mais relevé à un niveau qui correspond à votre exposition réelle. Pour une PME dont le chiffre d’affaires mensuel dépend de l’accès à son CRM ou à son outil de facturation, un plafond indexé sur 24 mois d’abonnement plutôt que 12, assorti d’une couverture explicite du préjudice d’exploitation, est une stipulation qui se défend et que des éditeurs sérieux acceptent en conditions particulières.
Il faut également vérifier que le plafond s’applique par événement et non par période contractuelle une formulation qui permet au fournisseur d’argumenter qu’une série d’incidents constitue un événement unique, plafonnant l’indemnisation globale.
La clause d’escrow ou de sauvegarde externe garantie
Pour les entreprises dont la dépendance opérationnelle au SaaS est critique : comptabilité, facturation, gestion des commandes, il est légitime d’exiger contractuellement qu’une copie de vos données soit déposée à intervalles réguliers chez un tiers séquestre, ou à défaut que le fournisseur mette à disposition un export automatique périodique vers votre propre infrastructure. C’est la seule protection efficace contre le scénario de liquidation judiciaire du fournisseur. Elle a un coût opérationnel, mais elle est la condition sine qua non d’une continuité d’activité réelle, pas d’un SLA de disponibilité qui ne vous protège que pendant le temps où le fournisseur existe.
La réalité du marché est la suivante : les éditeurs SaaS qui ont investi dans la qualité de leurs conditions contractuelles, Pennylane en est un exemple en France, accepteront ces négociations sans résistance majeure si elles sont formulées correctement et portent sur des points ciblés. Les éditeurs qui refusent catégoriquement toute négociation sur ces cinq points vous disent quelque chose d’important sur la confiance qu’ils ont eux-mêmes dans leur capacité à tenir leurs engagements.
Signer sans avoir posé ces questions, c’est remettre les clés de votre activité à un tiers dont vous ne connaissez ni les sous-traitants, ni la solidité financière, ni les projets de cession et dont le contrat vous laisse, en cas de problème, avec un recours limité à 1.000 dollars et 30 jours pour récupérer vous-même vos données.
Vous envisagez de souscrire à un SaaS ou vous avez déjà signé et vous n’êtes pas certain de ce que contient votre contrat ?
Un audit contractuel ciblé, c’est quelques heures de travail en amont. C’est infiniment moins coûteux qu’une migration de données en urgence, qu’un contentieux avec un fournisseur racheté, ou qu’une mise en demeure de la CNIL pour défaut d’encadrement de la sous-traitance.
Le Cabinet BUEDER AVOCAT accompagne les dirigeants de PME, TPE et startups dans la relecture et la négociation de leurs contrats SaaS avant la signature ; contactez-nous.
Avocat - Maître Bueder
Passionné par mon métier et le sport, je punch aussi bien du gauche que du droit ! Retrouvez tous mes articles techniques et de vulgarisation pour bien comprendre le droit des sociétés et des marques
Point d’actualité IA : Préparez vous au règlement européen (UE) 2024 1689
Contexte et objectifs Le Règlement (UE) 2024/1689, adopté par le Parlement européen et le Conseil
Bail commercial : la prévention du risque pour vous sauver des procédures collectives
Vous êtes bailleur commercial et vous croyez sans doute que votre position est solide. Après tout,
Cession de fonds de commerce : comment anticiper les pièges juridiques pour une transaction réussie ?
La cession de fonds de commerce est une opération juridique qui consiste en la vente de l’ensembl
