Cher client,
Tu viens de t’éreinter à négocier le prix de ton service SaaS et c’est le moment fatidique de formaliser l’accord trouvé avec ton éditeur/prestataire.
La tentation sera grande de signer son contrat : bah oui il est déjà tout prêt, validé par la Corp, le même pour tout le monde, immuable et bla bla bla et bla bla bla. Tu as les opérationnels qui manifestent dans ton bureau vu l’urgence du besoin, et ton chef qui ne comprend pas que le SaaS ce n’est pas qu’appuyer sur un bouton.
Et bien cher client, la négociation tarifaire n’était que la mise en bouche car maintenant commence la vraie négociation, la plus importante, celle qui te permettra de contrôler la situation.
On n’insistera jamais assez l’importance d’un contrat bien négocié. En cas de litige, ce document permet une sortie de crise en limitant les dommages.
Il est d’autant plus important de bien négocier son contrat SaaS dans la mesure où c’est le seul modèle cloud où le client transfère l’ensemble des responsabilités à un tiers.
Ainsi, le client n’aura aucun autre levier de pilotage que son contrat.
Au risque d’enfoncer une porte ouverte, le contrat SaaS est avant tout un contrat de services.
Beaucoup d’exemples sont disponibles sur la toile, aussi n’aborderai-je que les points qui m’apparaissent fondamentaux.
Le prérequis a tout bon contrat est de bien exposer le besoin et son contexte.
A ce titre le client devra porter attention à la rédaction des articles suivants :
Le préambule dans lequel sont exposés le besoin fonctionnel du client ainsi que ses objectifs quantitatifs et qualitatifs et les raisons du choix du prestataire/éditeur en l’absence desquels le client n’aurait pas contractualisé avec lui.
L’objet ou description des services viendra compléter de manière plus fine le service attendu. Je vous conseille de décrire précisément les services concernés ainsi que les fonctionnalités disponibles à date.
En effet, vous, clients, n’avez plus la main sur les évolutions et leur mise en production. Vous devrez donc vous prémunir de la transformation, voir la disparition d’une fonctionnalité qui serait essentielle à la satisfaction de vos objectifs.
N’oubliez pas de demander l’ajout de la documentation technique de la solution en annexe.
Vous pouvez aussi abordez dans cet article l’obligation d’information précontractuelle : prérequis techniques, responsabilité sur le choix du réseau, exclusions du service. etc…
Rappelons que ceci est devenu une obligation du prestataire depuis l’Ordonnance du 10 février 2016.
Il serait dommage que vous découvriez par exemple que la solution n’est accessible qu’à partir d’un seul et unique navigateur non déployé dans votre organisation….
Pour les plus pointilleux, ils pourront établir une matrice de responsabilités.
Les engagements de niveaux de services sont essentiels.
Il est légitime que le service soit disponible en 24/7.
A minima, seront négociés :
- le GTR (garantie de temps de rétablissement),
- le RTO (Recovery Time Objective) déterminant la durée maximale d’indisponibilité admissible
- et le RPO (Recovery Point Objective), à savoir la durée maximale d’enregistrement des données que le client accepte de perdre en cas d’incident.
A ces engagements seront associés des pénalités.
Rappelons qu’un engagement sans pénalité n’a rien d’engageant pour le prestataire.
Soyez vigilant sur les exclusions dans les calculs : plage de maintenance, responsabilité client, …
Soyez exigeant sur les niveaux de services :
99% en 24/7 représente 7,2h d’indisponibilité acceptable. Cela est déjà considérable.
Le traitement des données est un point épineux de ce modèle contractuel.
Il convient donc de bien prévoir tous les risques associés aux données,
et ceux-ci sont nombreux.
1/ Propriété des données
Toutes les données sont propriétés du client.
2/ RGPD
Le client doit s’assurer du respect du RGPD par son fournisseur, et c‘est d’autant plus vrai dans le cadre d’un contrat SaaS, et notamment :
- Pas d’export de données en dehors de l’UE – attention au Royaume Unis qui sort de l’UE au T1 2019.
- En cas de violation des données, le prestataire doit le notifier au client en moins de 48H (le client a 72h pourle notifier à la CNIL).
- Le Client doit expressément valider les sous-traitants du prestataire. Ce dernier doit donc informer le client de ses éventuels sous-traitants.
- Le RGPD impose aux clients de nouvelles obligations en ce sens : ils doivent s’assurer du respect du RGPD par leur fournisseur.
- Le service doit donc proposer d’une fonction d’anonymisation permettant d’utiliser à des fins statistiques des données anciennes, sans leur conserver un caractère personnel.
- Le service doit gérer le droit d’informations auprès des utilisateurs et notamment, en cas de formulaires, permettre la personnalisation de ces derniers.
Enfin, attention les filiales américaines sont soumises au Freedom Act qui permet la transmission des données à la maison mère.
3/ Sécurités des données
Le Prestataire doit s’engager à préserver l’intégrité et la confidentialité des Données contenues dans le Service. Il est responsable de la fourniture et de la mise en œuvre des mesures techniques et organisationnelles de nature à empêcher tout accès ou utilisations fraudeuses des Données et à prévenir toutes pertes, altérations et destructions des Données.
4/ Sauvegarde des données
Le Prestataire doit s’engager à sauvegarder l’ensemble des Données contenues dans le Service, à minima chaque nuit. Il est responsable de la fourniture et de la mise en œuvre des mesures techniques et organisationnelles à cet effet.
5/ Conservation des données (durée de rétention)
La durée de rétention minimale des données sera de X mois (à définir selon la politique de la DSI du client).
6/ Réinstallation des données
En cas de corruption des données, le prestataire s’engage à réinstaller
les données de la veille sous un délai de x heures.
7/ Restitution ou réversibilité
En cas de cessation de la relation contractuelle, quelle qu’en soit la cause, le Prestataire s’engage à restituer [ou éventuellement détruire, au choix du client, gratuitement, à la première demande de celui-ci formulée par lettre recommandée avec accusé de réception et dans un délai de X jours à la date de réception de cette demande, l’ensemble des Données lui appartenant sous un format standard lisible sans difficulté dans un environnement équivalent ou sur un format xxx (à préciser).
Un plan de réversibilité, annexe X du contrat, sera finalisé dans un délai de 60 jours à compter de la date de signature du contrat par les parties. Il détaillera l’ensemble des modalités, prérequis, et délais de la réversibilité des données chez le client ou un tiers désigné par le client.
A l’issue de la période de réversibilité, le prestataire sera dans l’obligation de :
- Détruire les données présentes sur tous les environnements (production, pré-production, qualification, développement, sauvegardes,…) de son domaine de responsabilité SI, même si ceux-ci sont mutualisés.
- Fournir un rapport de destruction qui mentionne à minima :
- la réalisation de l’opération ;
- les algorithmes ou la méthode utilisée pour la destruction.
La Réversibilité des Services étant réalisée, le Prestataire s’engage pendant une durée et selon les conditions définies dans le plan de Réversibilité, à maintenir disponibles les compétences utiles pour assister le Client, ou le prestataire retenu par lui, dans la reprise des Services.
Pendant cette période, le Prestataire s’engage également à faire ses meilleurs efforts pour répondre aux demandes d’assistance avec une réactivité adaptée à l’importance des impacts, que la demande soit formulée par le Client ou le prestataire retenu par lui.
Obligations du prestataire :
Outre l’obligation de résultat, le prestataire a les obligations suivantes :
- Le Prestataire est tenu à une obligation de mise en garde, de conseil et de renseignement dans les conditions définies par la loi et la jurisprudence applicables. Le Prestataire s’engage à assurer cette obligation tout au long de l’exécution du Contrat, y compris au cas où le Client émet des demandes complémentaires en cours d’exécution du Contrat ;
- Le Prestataire s’engage notamment à informer, conseiller et mettre en garde le Client sur les choix ou demandes (y compris complémentaires) effectués par eux qui pourraient affecter les conditions de fourniture des Services;
- Le Prestataire s’engage à informer et alerter sous un délai de X mois sur les enjeux et les conséquences de l’optimisation des Services, leur évolution, des choix de conception et d’architecture pour optimiser le service aux utilisateurs ;
- Le Prestataire s’engage à répondre à toutes Demandes d’assistance qui lui sont adressées au titre du Contrat;
- Le Prestataire s’engage à assurer les Services, tels que définis dans le présent Contrat et commandés au titre des Commandes ;
- Le Prestataire s’engage à respecter les Niveaux de Service tels que définis au chapitre xxxx
Exécution imparfaite de la prestation :
Les clauses résolutoires ou autres cas d’inexécution du contrat étant parfaitement maitrisées, je m’attarderai ici uniquement sur l’exécution imparfaite de la prestation.
En cas d’exécution imparfaite du service, et après mise en demeure, le client peut notifier au prestataire sa décision d’en déduire le prix de manière proportionnelle. L’acceptation du prestataire de cette décision doit être rédigée par écrit. A défaut d’accord sur cette réduction, le client peut solliciter la justice.
Coupure de service :
Le prestataire s’engage à ne pas couper le service sans mise en demeure par courrier avec A/R et moyennant un délai de X jours à compter de la réception de ce courrier. Cette mise en demeure ne peut résulter que de compromissions infructueuses dont les résultats sont consignés de manière écrite par les deux parties.
Avant de vous quitter et de vous laisser assimiler ces points cruciaux, je vous donnerai encore 2 conseils :
1/ si le prestataire propose une clause de maintenance, refusez. Vous achetez un service qui doit comprendre l’ensemble des composants de ce dernier. Le coût inclut le logiciel, l’infrastructure sur lequel tourne le logiciel, l’hébergement, la sauvegarde et le stockage des données, la main d’œuvre, la maintenance et le support (et tout autre coût additionnel).
2/ la conformité. Théoriquement il n’y a plus de sujet de conformité dans la mesure où il n’y a plus de licence. Pour les plus fébriles, ils pourront proposer une clause indiquant que la conformité d’utilisation des services est de la responsabilité du prestataire.
A ces points essentiels s’ajoutent toutes les clauses classiques : durée, cession, assurance, confidentialité, prix, paiement… etc.
Bien négocier un contrat SaaS prend beaucoup de temps, mais c’est un temps bien employé.
En résumé : ne lâchez rien !