Tribunes

SaaS : attention aux responsabilités en chaîne !

SaaS : attention aux responsabilités en chaîne !

Par Anne-Sophie Poggi et François-Pierre Lani, Avocats Associés au sein du cabinet Derriennic Associés.

PublicitéLe «SaaS» (Software as a Service) repose sur un mode de gestion personnalisé des ressources informatiques, plus ou moins complexe en fonction de la multiplicité de services offerts : simple solution d'hébergement de logiciel ou solution globale incluant la maintenance et l'assistance, des développements spécifiques, ainsi que la sous-traitance des traitements.

C'est une solution intégrée de métiers, qui ne sont pas toujours intégrés.

Ainsi, le «SaaS» peut nécessiter l'intervention d'une pluralité d'acteurs :

- L'éditeur, aussi appelé fournisseur ou Prestataire.
- L'Utilisateur final, aussi appelé le Client.
- Les Intervenants, auprès de qui le fournisseur/Prestataire sous-traite certaines prestations : l'hébergeur, l'opérateur de télécoms, le fournisseur de hardware, le fournisseur de solution de back up...

Un tel service en mode SaaS suppose une pluralité d'Intervenants, alors même que le Prestataire en lien avec le Client servira de «guichet unique» en cas de défaillance de l'un des Intervenants.

La responsabilité du Prestataire se trouve à la fois concentrée et accrue.

Elle peut être engagée non seulement en cas de dysfonctionnement lui étant directement imputable, mais aussi au titre des défaillances des autres Intervenants.

Par ailleurs, la mutualisation induite par le SaaS entraîne potentiellement une mutualisation des préjudices si, par exemple, l'ensemble des Clients du Prestataire voient leur connexion au service interrompue. Quel que soit le plafond de responsabilité négocié par le Prestataire dans chaque contrat, le cumul des recours de ses Clients peut être catastrophique.

Or il s'avère que, bien souvent, le Prestataire ne répercute pas ou mal à ses sous-traitants les obligations qu'il assume face au Client.

Si une pluralité de contrats est nécessaire pour organiser l'activité en mode SaaS, proportionnellement au nombre d'acteurs en jeu, c'est cette même pluralité de contrats qui constitue l'un des éléments de risque lié à ce type de prestation.

L'architecture contractuelle à mettre en place doit prendre en compte le schéma complexe des métiers que l'activité en mode SaaS met en oeuvre et les risques induits par les spécificités du SaaS (externalisation et mutualisation).

Il ne s'agit pas pour le Prestataire de ne pas assumer les responsabilités qu'il prend vis-à-vis du Client, mais d'anticiper leur détermination et leur répartition en mettant en place :
- Une matrice de responsabilité (Responsable Autorise Consulté Informé), qui permet de répartir contractuellement les responsabilités. Sous forme de tableau, elle donne une vision simple et claire de qui fait quoi dans le projet, en permettant d'éviter une redondance de rôles ou une dilution des responsabilités.
- Des «contrats miroirs» avec les sous-traitants, en répercutant les contraintes et les engagements pris par le prestataire dans l'ensemble des contrats formés entre ce dernier et les autres Intervenants (l'hébergeur notamment).
- Des mécanismes de limitation du dommage (sauvegardes, back-up, plan de secours etc).

PublicitéSuivant la même logique, l'engagement de disponibilité et de performance du Prestataire qui prend le plus souvent la forme d'une annexe au contrat dite Services Level Agreement (SLA), peut également devenir un moyen de servir l'amélioration continue du service, et non un seul outil de sanction, en favorisant une démarche de partenariat dans la recherche d'un objectif de progression continue et un bonus associé à l'atteinte de l'objectif.

Ainsi, chaque clause spécifique du contrat Saas peut et doit faire l'objet d'une rédaction qui prend en compte l'équilibre économique du service et la nécessaire sécurité du client :

- La clause de prix doit traduire l'engagement de pérenniser la relation contractuelle. Le prix est non seulement fonction du volume d'utilisation du service par le Client, de la durée pendant laquelle il s'engage à utiliser le service, du périmètre des bénéficiaires, mais également des engagements de réduction des coûts en fonction de la durée.
- La clause de maintenance doit limiter le risque des demandes spécifiques du Client qui peuvent contrarier «le standard» et qui sont susceptibles de rendre plus difficile la mise en place d'une maintenance standardisée et mutualisée, en prévoyant par exemple, le refus de mise en place de spécifiques au-delà d'un certain taux ou touchant le coeur du progiciel.
- La clause sur les données doit, non seulement traiter de leur intégrité, de leur sécurité et de leur confidentialité, mais ne pas oublier le parent pauvre que sont les données personnelles du Client, alors même que le prestataire est considéré comme sous-traitant du traitement des donnée hébergées au sens de la Loi Informatique et Libertés de 1978 (ex : une application CRM, dont le fichier Clients va, par définition, être hébergé par le Prestataire ou son sous-traitant hébergeur). A noter que si les données personnelles sont hébergées dans un pays extracommunautaire, la Commission vient de publier des clauses-types, que doivent signer conjointement le Client et le Prestataire en tant qu'«Exportateurs de données» et l'hébergeur en tant qu'«Importateur de données», le tout dans une déclaration multipartite. Une décision récente (C(2010) 593 du 5 février 2010) a mis à jour ces clauses-types. Son entrée en vigueur, le 15 mai 2010, abrogera les clauses adoptées le 15 juin 2001.

En conclusion, si le choix d'un service Saas peut être un modèle économique simple et flexible pour le client, il nécessite une anticipation très forte de ses implications et un traitement à la loupe des aspects juridiques.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis