Passer en revue des conditions générales lors de l’acquisition d’un logiciel ou d’une application SaaS n’est pas des plus plaisants. Au fond, l’entrepreneur a bien souvent tendance à penser que l’outil informatique ne lui sert le plus souvent qu’à des fins de support et que, partant, la relecture de ces conditions est une perte de temps inutile. Pourtant, ces conditions sont susceptibles de comporter de nombreux pièges qui, en l’absence de compétences particulières, sont il est vrai bien difficiles à déceler. Prenons quelques exemples :
a) Contrat de logiciel
Le contrat dit de « logiciel » porte sur les conditions générales applicables à un logiciel installé sur site, que ce soit sous la forme d’un téléchargement ou d’une installation par un intégrateur. En soi, les risques sont donc plus limités que ceux pouvant exister dans le cadre d’une application SaaS, puisque l’entrepreneur garde la maîtrise du logiciel et des données dont il permet le traitement. Pourtant, les pièges n’en existent pas moins. Parmi ceux-ci, l’entrepreneur aura tout intérêt à s’interroger par exemple sur les dix points suivants :
- La licence qui m’est accordée est-elle suffisamment large pour couvrir mes besoins ?
- Suis-je en droit de tester le logiciel durant un certain nombre de jours à titre gratuit ou pour un prix modeste, de manière à m’assurer qu’il corresponde à mes attentes ?
- Le logiciel est-il assorti d’une garantie qui me permet de faire appel au fournisseur en cas de problèmes et, dans l’affirmative, pour combien de mois cette garantie m’est-elle accordée ?
- Le fournisseur garantit-il dans ces conditions générales détenir tous les droits sur le logiciel et qu’il m’indemnisera le cas échéant dans l’hypothèse d’une violation de cette garantie ?
- Les mises à jour sont-elles comprises dans le prix de la licence et puis-je automatiquement en bénéficier ?
- Quelle est la durée du contrat ? A supposer qu’il soit conclu pour plusieurs années, le fournisseur est-il en droit d’augmenter le prix de la licence chaque année et, si oui, dans quelle mesure ? Puis-je le cas échéant mettre un terme au contrat en cas d’augmentation du prix ?
- Le contrat de licence est-il assorti d’un contrat de maintenance qui m’offre le soutien nécessaire en cas de besoin ? Si tel n’est pas le cas, est-il possible d’en bénéficier et pour quel prix (sachant que le prix de la maintenance annuelle correspond généralement à un montant d’entre 18-22% du prix de la licence) ? Quelle est l’étendue de ce support (8/5, 24/5, 24/24) ?
- Les clauses relatives aux conséquences liées à la fin du contrat permettent-elles d’assurer la continuité des affaires sans risque de dépendance vis-à-vis du fournisseur ?
- Le fournisseur est-il tenu de m’apporter son concours à l’expiration du contrat en vue de migrer vers un autre fournisseur ? Puis-je bénéficier de son soutien à titre gratuit et, dans la négative, à quelles conditions ?
- A supposer que le logiciel ne remplisse pas uniquement des fonctions de support, mais qu’il revête un aspect critique au niveau opérationnel, la conclusion d’un contrat d’escrow permettant de bénéficier du code source en cas notamment d’insolvabilité ou de cessation d’activités du fournisseur est-elle envisageable ? A supposer qu’elle le soit, disposé-je à l’interne des compétences nécessaires pour exploiter ce code source ou puis-je aisément me les procurer ?
b) Contrat SaaS
S’il présente bien des avantages par rapport au contrat de licence classique portant sur un logiciel installé sur site, le recours à une application SaaS n’en comprend pas moins des risques plus importants pour l’entrepreneur, puisqu’il revient à confier ses données en mains d’un tiers qui en aura le contrôle (sauf cas particuliers du cloud privé, généralement réservé aux grandes entreprises). Cette externalisation comporte ainsi certains pièges à éviter. En sus des éléments susmentionnés s’agissant du contrat de logiciel, bien souvent applicables dans le cadre de contrats SaaS, l’entrepreneur aura tout intérêt à s’intéresser par exemple aux dix points suivants :
- Les conditions générales sont-elles assorties d’un contrat de niveaux de services en annexes (service level agreement, SLA) ?
- Quel est le taux de disponibilité de l’application ? Plus l’application est importante sur le plan opérationnel, plus ce taux devra être élevé ; en toute hypothèse, un taux inférieur à 99.5% ne devrait plus être accepté aujourd’hui.
- Quelle est la périodicité de ce taux de disponibilité ? Se calcule-t-il par mois ou par trimestre ? A supposer que le taux de disponibilité soit de 99.9% sur un mois, cela signifie que la durée de l’indisponibilité ne peut être que de trente minutes au cours du mois ; en revanche, si ce taux se calcule par trimestre, cela signifie que la durée de l’indisponibilité peut être de plus de deux heures de suite sans que le client ne puisse s’en plaindre de quelque manière que ce soit.
- A supposer que le taux de disponibilité prévu ne soit pas atteint, quelle en est la conséquence pour le fournisseur ? Prévoir un taux sans l’assortir de quelque sanction que ce soit en cas de violation équivaut au final à ne rien garantir. Le contrat devrait donc prévoir des conséquences si ce taux n’est pas respecté, généralement qualifié de « service credits ».
- Quelles sont les heures durant lesquelles je peux bénéficier de l’assistance technique de mon fournisseur ? Si un support fourni du lundi au vendredi de 8h à 17h sera suffisant en bien des cas, une assistance 7/7 et 24/24 peut s’avérer nécessaire lorsque l’application en question revêt une importance opérationnelle cruciale pour assurer la continuité des affaires.
- Quelle est la langue dans laquelle ce support est fourni ? Il est en effet fondamental que les personnes fournissant le support technique parlent la langue des équipes susceptibles d’y recourir ;
- Quels sont les canaux par lesquels je peux informer mon fournisseur d’un problème technique ? Si l’émission d’un ticket par l’envoi d’un email est standard, ce canal peut s’avérer insatisfaisant lorsque l’incident revêt un niveau critique (que l’on appelle traditionnellement P1), hypothèse dans laquelle avoir la possibilité d’appeler directement une personne déterminée est appréciable.
- Lorsque je soulève un incident, dans quel délai puis-je m’attendre à une réponse, voire la durée dans laquelle cet incident sera résolu ? Bien que les fournisseurs soient généralement réticents à prendre quelque engagement que ce soit en termes de durée de résolution avant même d’en connaître la cause, il est important de s’assurer que l’incident n’est pas laissé en suspens et que, s’agissant d’incidents ayant un impact opérationnel possible, une solution temporaire soit rapidement mise en place dans un délai pré-convenu.
- A partir du moment où mes données sont externalisées, il est important de s’assurer que des contrôles suffisants en matière de sécurité ont été mis en place par le fournisseur compte tenu du niveau de sensibilité des données qui lui sont confiées. Certaines certifications, comme le standard ISO27001, pourront être attendues.
- Enfin, pour ces mêmes raisons, il est important qu’un accord en matière de traitement de données (personnelles) soit conclu avec le fournisseur. Le plus souvent, l’entrepreneur sera en effet considéré comme responsable du traitement (data controller), et devra ainsi s’assurer du respect des dispositions applicables en matière de protection des données par le fournisseur (data processor), dont potentiellement le RGDP s’il s’avère applicable.
Il ne s’agit là que d’un florilège de quelques clauses méritant de retenir l’attention. Les exemples pourraient être multipliés. A l’ère du Big Data et de l’avènement des technologies afférentes comme l’Internet des Objets (IoT) ou l’Intelligence Artificielle (AI), de nombreuses problématiques émergent, dont celles sur la titularité des données, des garanties et responsabilités ne sont pas des moindres. De simples supports, ces technologies prennent de plus en plus souvent une tournure opérationnelle, raison pour laquelle la contractualisation et les enjeux y relatifs prennent une importance toujours plus grande. On comprend sans peine qu’au vu de la complexité de la matière, lire ces clauses équivaut au final bien souvent en effet pour entrepreneur à perdre son temps. En réalité, c’est bien de l’appui d’un expert dont il a besoin pour éviter toute mauvaise surprise.
WILHELM Avocats SA dispose d’une importante expérience dans la rédaction et la négociation des contrats informatiques, du plus simple au plus complexe. Si vous souhaitez éviter les nombreux pièges susceptibles de se glisser dans ces diverses conditions, n’hésitez pas à prendre contact avec nous. Nous serons heureux de pouvoir vous aider à nous assurer que ce pour quoi vous signez correspond bien à ce que vous voulez, sans mauvaise surprise.