Le « Software as a service » ou « logiciel en tant que service » est un logiciel utilisé comme un service et non comme un produit. Son utilisation nécessite d’être encadrée par un contrat spécifique. Par définition, un logiciel SaaS engendre une circulation massive d'informations personnelles entre les différents intervenants. Il est donc directement concerné par le RGPD. En effet, le RGPD impose aujourd'hui aux éditeurs de logiciel en SaaS de signer un contrat écrit avec leurs clients. Ce dernier comprend :
- L’objet du contrat
- La durée
- La finalité de l’utilisation du logiciel
- Le type des données à caractère personnel qui seront en jeu
- Les catégories de personnes concernées
- Les responsabilités et obligations de chacune des parties
- Les règles de confidentialité
Les risques d'un contrat SaaS
1/ La négociation technique
Régulièrement le contrat SaaS - rédigé souvent en anglais - ne correspond pas à votre cahier des charges. Il faut alors s’assurer que le contrat SaaS que vous allez signer est bien issu de la rencontre entre votre besoin et l’offre du fournisseur, prenant en compte le contexte.
Il faut éviter la négociation technique en estimant que le prestataire va s’aligner sur vos demandes. Pour éviter cet écueil, un préaccord peut être signé avant la remise du cahier des charges. Ce dernier contiendra les pré-requis et les conséquences que vous souhaitez y associer. Dans ce but, une bonne connaissance de l’environnement contractuel, des besoins des utilisateurs et des potentiels risques est impérative.
2/ L’économie du contrat
Il faut limiter les cas de hausse de prix et pour ce faire il faut répondre aux interrogations suivantes
- Quel est le nombre d’utilisateurs actuels connus et à venir dans les x années ?
- Quelle est la plage de variation à la hausse ou à la baisse ?
- Combien de sites sont concernés ?
- Quelle garantie en cas de cession d’une partie de l’entreprise ?
- Est-il possible lorsqu’un site est fermé de reporter le nombre d’utilisateurs sur un autre site ?
En interne, le DSI doit connaitre la stratégie de l’entreprise pour anticiper les modifications de la vie sociétale. En parallèle, il faut connaître le prestataire/fournisseur, sa souplesse, sa politique en matière de data et les moyens dont il dispose pour assurer le fonctionnement contractuel. Mais il faut également être au fait de sa santé financière.
De plus, pour encadrer le risque de la perte totale des services sans préavis, le contrat peut définir des indicateurs de suivi du fournisseur et l’obligation d’informer le client en cas d’atteinte à l’un d’entre eux
3/ Privilégier certaines clauses
Toutes les clauses doivent être adaptées aux objectifs de l’entreprise. Il ne faut pas uniquement se concentrer sur les clauses qui concernent la disponibilité du service, la sécurité des données et le prix à l’usage.
Les clauses attenantes à la continuité des services, à la possibilité d'internaliser à nouveau, aux formats et à la réversibilité des données doivent faire parties des point de vigilance.
4/ L’interruption des services
Le contrat SaaS prévoit généralement une clause sur la disponibilité et la continuité des services. Mais dans le contexte actuel, cette clause doit être retravaillée et aller plus loin. Elle doit prévoir la responsabilité du fournisseur en cas de panne ou d’interruption du service, voir la résolution du contrat suivant certaines modalités.
5/ La sécurité des données
Il est indispensable que le contrat SaaS contienne une clause de confidentialité renforcée, une clause spécifique à la protection des données, ainsi qu’une clause d’audit technique. Il faut s’assurer que l’intégrité des données soit respecté, il en est de même pour leur cryptage et leur traçabilité.
6/ Le transfert de données
Le RGPD appuyés par les récentes décisions européennes est plus qu’exigeant en matière de transfert de données. Il faut donc s’assurer de la localisation des serveurs du fournisseur. Selon cette localisation, le contrat SaaS doit prévoir un encadrement spécifique, notamment l’insertion de clauses contractuelles types. Si un transfert est opéré vers les États-Unis, il est fortement recommandé d'utiliser un chiffrage supplémentaire.
7/ Accessibilité des données
Le contrat SaaS doit comprendre une clause vous permettant, en fin de contrat, de récupérer l’intégralité des données que vous avez fournies dans le cadre de l’utilisation du logiciel en SaaS. Cette clause appelée « Clause de réversibilité » est essentielle. Pour minimiser le risque de contentieux avec le fournisseur, un plan détaillé de réversibilité ainsi qu’une simulation peuvent être envisagés.
8/ La sortie du contrat SaaS
Tous les cas possibles doivent être prévus et cartographier. Il ne faut pas négliger ces éléments. Pour éviter un conflit inégal, il convient de choisir des prestataires SaaS de taille comparable à celle de l’entreprise. Dans ce cas, l’analyse de risque doit s’adapter et la qualification du personnel doit être vérifiée.
Commentaire