Conditions Générales SaaS B2B Belgique

Les Conditions Générales SaaS B2B en Belgique sont des actes juridiques écrits et contraignants. Ils sont régis par Règlement UE 2016/679 (RGPD) art. 28. Elles définissent le périmètre du service, les SLA, le prix, les obligations RGPD et la responsabilité entre les parties.

Les CGV SaaS B2B sont juridiquement distinctes des CGV B2C (vers les consommateurs) sur des points fondamentaux. En B2B, les parties sont présumées de force égale, ce qui autorise des clauses limitant la responsabilité au montant annuel des redevances (licites selon l'art. 5.89 du Code civil belge Livre 5 en vigueur depuis le 1er janvier 2023), l'exclusion de certaines garanties et la convention d'une juridiction spéciale (Tribunal de l'entreprise de Bruxelles). Ces clauses seraient nulles en B2C.

Le cadre juridique des contrats SaaS en Belgique repose sur plusieurs textes fondamentaux. Le Code de droit économique (CDE) Livre XII encadre le commerce électronique et les services numériques. Le Livre XI CDE protège les droits de propriété intellectuelle du fournisseur (art. XI.165 et suivants sur le droit d'auteur logiciel). Le Livre VI art. VI.83 sur les clauses abusives s'applique en B2B (liste grise réduite) et en B2C (liste noire étendue). Le Code civil belge Livre 5 (obligations, en vigueur depuis le 1er janvier 2023) encadre la formation, l'exécution et l'inexécution des contrats.

La clause de traitement des données personnelles (DPA, Data Processing Agreement) est une composante légalement obligatoire des CGV SaaS des lors que le logiciel traite des données personnelles des employés ou clients du Client. L'art. 28 du RGPD exige un contrat écrit entre le responsable du traitement (le Client) et le sous-traitant (le Fournisseur SaaS), précisément : l'objet, la durée, la nature et la finalité du traitement, le type de données, les catégories de personnes concernées, les obligations et droits du responsable du traitement, et les sous-sous-traitants éventuels. L'Autorité de protection des données (APD) belge (avenue de la Presse 35, 1000 Bruxelles, www.autoriteprotectiondonnees.be) est l'autorité de contrôle compétente.

La clause de niveau de service (SLA, Service Level Agreement) est spécifique aux contrats SaaS et n'existe pas dans les CGV produits classiques. Le SLA garantit un taux de disponibilité du logiciel (typiquement 99%, 99,5% ou 99,9% sur base mensuelle), mesure en excluant les maintenances programmées annoncées et les cas de force majeure. En Belgique, le non-respect du SLA engage la responsabilité contractuelle du fournisseur ; les crédits de service prévus au contrat constituent généralement la seule compensation possible sauf faute grave ou dol (art. 5.77 Code civil belge Livre 5).

La portabilité des données en fin de contrat est une obligation RGPD (art. 20 RGPD pour les personnes physiques) mais aussi une bonne pratique contractuelle SaaS. Le Fournisseur doit garantir l'export de toutes les données du Client dans un format standard portable (CSV, JSON ou XML) dans les 30 jours suivant la fin du contrat, suivi d'une suppression certifiée de toutes les données des serveurs. Cette obligation, souvent neglee dans les CGV SaaS génériques, est un point de différentiation important pour les clients belges soucieux de leur indépendance technologique et de leur conformité RGPD.

Les Conditions Générales SaaS B2B sont utilisées dans tous les secteurs ou un fournisseur technologique belge propose un accès a un logiciel en mode cloud a des entreprises clientes professionnelles.

Logiciels de gestion d'entreprise en mode cloud. Pour les éditeurs de logiciels ERP (Enterprise Resource Planning), CRM (Customer Relationship Management), logiciels de comptabilité (Exact, Unit4, Bob50, Horus, Winbooks), logiciels de gestion de paie (SD Worx, Liantis, Partena Professional), les CGV SaaS B2B encadrent l'abonnement mensuel ou annuel, les niveaux de service garantis, les accès multi-utilisateurs et la migration des données. En Belgique, un éditeur SaaS de moins de 50 employés doit veiller a ce que ses CGV SaaS soient aussi détaillées que celles des grands acteurs : absence de DPA art. 28 conforme peut entraîner une amende APD.

Platformes de collaboration et de communication professionnelle. Pour les fournisseurs de plateformes de videoconference (Zoom, Teams, mais aussi éditeurs belges), de gestion de projet (Asana, Monday, Teamleader de Gand), de signature électronique (Connective de Bruxelles, Docusign), les CGV SaaS B2B régissent les modalités d'abonnement, les limitations d'utilisation, les droits de propriété intellectuelle sur les contenus uploades et la protection des données des utilisateurs (employés des clients).

Logiciels de cybersecurite et protection des données. Pour les fournisseurs de solutions antivirus, pare-feu manages, détection d'intrusion (EDR/XDR), sauvegarde cloud, les CGV SaaS B2B incluent des clauses spécifiques sur la responsabilité en cas de cyberattaque, les certifications de sécurité (ISO 27001, SOC 2 Type II), les obligations de notification en cas de violation de données conformément a l'art. 33 RGPD (72 heures a l'APD belge).

Logiciels sectoriels pour les professions réglementées. Pour les logiciels destines aux cabinets d'avocats (gestion de dossiers), cabinets comptables (logiciels fiscaux), cabinets médicaux (dossiers médicaux électroniques ou DME), les CGV SaaS B2B doivent prévoir des clauses de confidentialité renforcée, la conformité aux règles sectorielles (OBFG pour les avocats, SPF Santé publique pour les DME) et les obligations de conservation spécifiques.

Hébergement web et services d'infrastructure cloud (IaaS/PaaS). Pour les fournisseurs d'hébergement web, serveurs dédiés, cloud privé, bases de données en mode service (DBaaS), les CGV SaaS B2B encadrent les SLA d'infrastructure, les politiques de sauvegarde, les procédures de reprise après sinistre (RTO/RPO), la sécurité physique des centres de données et les modalités d'escalade en cas d'incident.

Logiciels de marketing automation et analyse de données. Pour les fournisseurs de plateformes de marketing automation, emailing (Mailchimp, Sendinblue/Brevo), analyse de données et business intelligence (Tableau, Power BI intégrations), les CGV SaaS B2B sont particulièrement sensibles au RGPD car ces logiciels traitent typiquement des données de prospects et clients du Client, exigeant une DPA art. 28 complète et des clauses claires sur les sous-traitants ultérieurs (transfer impact assessment post-Schrems II pour les services US).

Les Conditions Générales SaaS B2B belges comprennent des éléments spécifiques aux services cloud qui les differenient fondamentalement des CGV produits classiques.

Définition et périmètre du service SaaS. La dénomination précise du logiciel, sa version, ses modules inclus et exclus, le nombre d'utilisateurs nommes ou concurrents, les limites de stockage, les fonctionnalités accessibles selon le niveau de forfait, les exclusions du périmètre de service (intégrations tierces non supportées, personnalisations hors périmètre standard). La description doit être suffisamment précise pour éviter tout litige sur le périmètre : la Cour d'appel de Bruxelles a sanctionne plusieurs éditeurs SaaS dont les CGV étaient trop vagues sur le périmètre du service.

Niveau de service (SLA) et penalties. Taux de disponibilité garanti mensuel (99%, 99,5% ou 99,9%), mode de calcul (exclusions des maintenances programmées notifiées sous 48h et de la force majeure), fenêtre de maintenance programmée préférée (généralement nuit et weekend), mode de mesure (monitoring externe indépendant recommande), mécanisme de crédits de service en cas de non-respect, plafonnement des crédits. Sur forms-légal.com, le modèle de CGV SaaS B2B propose des SLA clairs et des mécanismes de crédits conformes a la pratique belge et européenne.

Clause DPA conforme RGPD art. 28 (obligatoire). La clause DPA intégrée doit spécifier : nature et finalité du traitement, catégories de données, catégories de personnes concernées, durée du traitement, obligations du sous-traitant (fournisseur SaaS) incluant confidentialité du personnel, sécurité adéquates (art. 32 RGPD), assistance aux personnes concernées, suppression ou restitution, auditabilite, liste blanche des sous-sous-traitants, obligation de notification de violation de données dans les 48 heures, obligation de transfert impact assessment pour transferts hors UE.

Propriété intellectuelle et licence d'utilisation. Titularite claire des droits du Fournisseur sur le logiciel (Livre XI CDE art. XI.165 et suivants, droit d'auteur logiciel), licence d'utilisation octroyée au Client (non exclusive, non cessible, non sous-licenciable, usage interne uniquement), restrictions d'utilisation (interdiction d'ingénierie inverse sauf art. XI.292 CDE exceptions licites), propriété des données du Client (le Client reste propriétaire intégrale), interdiction pour le Fournisseur d'utiliser les données du Client a d'autres fins que l'exécution du service.

Facturation, paiement et révision tarifaire. Tarifs HT avec application TVA 21% (taux standard services informatiques), échéancier de facturation (mensuel, trimestriel ou annuel), modalités de paiement (virement IBAN dans les 30 jours), intérêts de retard conformes a la Loi du 2 août 2002 sur les retards de paiement B2B (taux BCE + 8 points + forfait 40 EUR + frais de recouvrement), mécanisme de révision tarifaire annuelle avec préavis (60 jours recommande) et droit de résiliation du Client en cas de refus.

Durée, résiliation et portabilité des données. Durée initiale du contrat (1, 12, 24 ou 36 mois), mécanisme de tacite reconduction avec préavis de résiliation (30, 60 ou 90 jours avant échéance), résiliation pour faute grave après mise en demeure, résiliation immédiate dans les cas graves (insolvabilité de l'une des parties, violation grave du RGPD), portabilité obligatoire des données (export format standard dans les 30 jours post-résiliation), suppression certifiée avec attestation.

Limitation de responsabilité B2B. Plafonnement a 12 mois de redevances effectivement payées (licite en B2B selon art. 5.89 Code civil belge Livre 5), exclusion des dommages indirects (perte de bénéfices, perte de clientèle, perte de données par faute du Client, atteinte a l'image), exclusions spécifiques (cyberattaques non imputables au Fournisseur, mauvaise utilisation par le Client, pannes de telecoms tierces), exceptions a la limitation (faute grave, dol, dommages corporels).

Support technique et maintenance. Niveaux de support (standard, premium, enterprise), canaux de support (email, ticketing, téléphone, accès remote), temps de réponse garanti selon criticite de l'incident (P1 critique 1h, P2 important 4h, P3 normal 1 jour ouvre, P4 informatif 3 jours ouvrés), fenêtre de maintenance programmée, politique de mise à jour et de versioning (mises à jour automatiques ou a la demande), procédure d'escalade interne.

Rédiger des Conditions Générales SaaS B2B conformes au droit belge et au RGPD requiert une approche méthodique en plusieurs étapes.

Étape 1 - Identifier les parties et leur statut. Vérifier que le contrat est bien B2B (les deux parties sont des professionnels au sens du CDE). Réunir les informations complètes : dénomination sociale, forme juridique (SRL, SA, CommV), siège social, numéro BCE a 10 chiffres (Banque-Carrefour des Entreprises), numéro TVA au format belge (BE suivi du BCE), coordonnées de contact du responsable commercial et du responsable support. Si le client est une administration publique ou un organisme para-public, des clauses spécifiques sur la comptabilité publique et les marches publics (Loi du 17 juin 2016) doivent être ajoutées.

Étape 2 - Définir précisément le service SaaS. Décrire le logiciel avec précision : nom commercial, version ou génération, modules inclus dans le forfait de base et modules supplémentaires en option, nombre d'utilisateurs couverts (nommes ou concurrents), limites de stockage (Go ou To), limites de transactions ou opérations par mois, intégrations tierces supportées (API disponibles, connecteurs natifs), fonctionnalités exclues du périmètre standard. Cette précision réduit les litiges sur le périmètre.

Étape 3 - Calibrer le SLA selon le niveau de service réel. Choisir un SLA cohérent avec la capacité technique réelle de l'infrastructure : 99% = 7,3h d'indisponibilité max par mois, 99,5% = 3,65h, 99,9% = 44 minutes. Calculer le mécanisme de crédits en fonctions du niveau d'écart : crédits de 5% a 10% des redevances mensuelles selon le dépassement. Définir les exclusions claires : maintenances programmées annoncées sous 48h, pannes de l'opérateur telecom du client, attaques DDoS massives, cas de force majeure au sens de l'art. 5.205 du Code civil belge Livre 5.

Étape 4 - Rédiger la clause DPA conforme RGPD art. 28 (obligatoire). La clause DPA doit être spécifique et détaillée, non générique. Spécifier : catégories exactes de données traitées (données d'identité, données de connexion, données métier), catégories de personnes concernées (employés du client, clients du client, fournisseurs du client), durée du traitement (durée du contrat + délai de suppression post-contrat), finalité stricte (exécution du service uniquement), mesures de sécurité spécifiques (chiffrement AES-256, authentification multifacteur, sauvegardes quotidiennes géographiquement distribuées), liste des sous-traitants ultérieurs avec pays d'hébergement et mécanisme de conformité RGPD (clauses contractuelles types CCT 2021 si hors UE), obligation de notification en 48h en cas de violation.

Étape 5 - Définir les tarifs et modalités financières. Exprimer tous les tarifs HT avec application TVA 21%. Préciser la périodicité de facturation et l'échéancier exact. Définir les intérêts de retard conformes a la Loi du 2 août 2002 B2B (taux de référence BCE + 8 points + indemnité forfaitaire 40 EUR + frais de recouvrement raisonnables). Prévoir le mécanisme de révision tarifaire annuelle avec préavis (minimum 60 jours) et droit de résiliation du client en cas de refus. Préciser les modalités de suspension de service en cas de non-paiement (mise en demeure préalable recommandée de 30 jours) et de reinstatement après régularisation.

Étape 6 - Calibrer la limitation de responsabilité B2B. En B2B belge, les clauses de limitation de responsabilité sont licites si elles ne portent pas sur la faute grave ou le dol (art. 5.77 et 5.89 Code civil Livre 5). Recommandation : plafonnement a 12 mois de redevances pour les dommages directs, exclusion explicite des dommages indirects (perte de bénéfices, perte de données par négligence du Client, perte de clientèle). Prévoir un mécanisme d'assurance professionnelle (RC professionnelle, cyber-risque) et mentionner la couverture minimale dans les CGV.

Étape 7 - Prévoir la résiliation et la portabilité des données. Durée initiale claire, mécanisme de tacite reconduction avec préavis suffisant (90 jours recommande pour les contrats annuels), résiliation pour faute grave après mise en demeure notifiée par lettre recommandée, portabilité obligatoire des données dans les 30 jours post-résiliation en format standard (CSV, JSON ou XML), suppression certifiée avec attestation écrite dans les 30 jours suivants.

Étape 8 - Définir la juridiction et la loi applicable. En B2B, les parties peuvent librement choisir la juridiction et la loi applicable (art. 25 Règlement Bruxelles I bis 1215/2012 pour les litiges transfrontaliers). Recommandation : Tribunal de l'entreprise de Bruxelles pour les fournisseurs SaaS siégeant en Belgique, droit belge applicable. Prévoir une procédure de résolution amiable préalable au judiciaire (30 jours minimum) pour réduire les coûts de contentieux.

Les Conditions Générales SaaS B2B belges sont soumises a un cadre légal multiple combinant le droit des contrats, le droit du numérique et le droit des données personnelles.

Cadre contractuel B2B. Le Code civil belge Livre 5 (obligations, en vigueur depuis le 1er janvier 2023) encadre la formation, l'exécution et l'inexécution des contrats SaaS B2B. L'art. 5.52 consacre la liberté contractuelle entre professionnels. L'art. 5.89 admet les clauses limitatives de responsabilité entre professionnels (invalides uniquement pour faute grave, dol ou dommages corporels). L'art. 5.77 encadre les clauses exoneratoires. L'art. 5.205 définit la force majeure. La théorie de l'imprévu (hardship) est codifiée a l'art. 5.74 : si les circonstances ont change de manière imprévisible rendant l'exécution manifestement inique, la partie peut demander la renégociation.

Droit du numérique (CDE Livre XII). La Loi du 11 mars 2003 sur le commerce électronique (transposant Directive 2000/31/CE), codifiée dans le Livre XII CDE, s'applique aux services SaaS. Obligations spécifiques : information précontractuelle complète en ligne, processus de conclusion du contrat électronique clair, conservation électronique des contrats, mentions légales complètes sur le site web du Fournisseur. L'art. XII.6 CDE impose des mentions obligatoires sur le site web du prestataire de services de la société de l'information.

Protection des données personnelles (RGPD et Loi du 30 juillet 2018). L'art. 28 RGPD est la disposition centrale pour les contrats SaaS : tout contrat entre un responsable du traitement (Client) et un sous-traitant (Fournisseur SaaS) traitant des données personnelles doit être formalise par un contrat écrit spécifique (DPA). Les sanctions de l'APD belge pour absence ou non-conformité du DPA : amendes jusqu'a 4% du chiffre d'affaires mondial ou 20 millions EUR (art. 83 RGPD). En cas de violation de données, notification obligatoire a l'APD dans les 72 heures (art. 33 RGPD). L'obligation de notification des violations au Client (sous-traitant vers responsable) est généralement fixée a 48 heures dans les DPA.

Droit de la propriété intellectuelle (CDE Livre XI). Le logiciel SaaS est protège par le droit d'auteur logiciel (art. XI.165 et suivants CDE transposant Directive 91/250/CEE sur la protection juridique des programmes d'ordinateur). Le Fournisseur détient les droits patrimoniaux et moraux sur le logiciel. Le Client obtient une licence d'utilisation limitée. L'art. XI.292 CDE autorise certains actes sans accord du titulaire (correction d'erreurs, décompilation pour interopérabilité dans des conditions strictes).

Droit commercial et comptable. La Loi du 2 août 2002 concernant la lutte contre le retard de paiement dans les transactions commerciales (transposant Directive 2011/7/UE) s'applique aux contrats SaaS B2B : intérêts de retard automatiques (taux BCE + 8 points) et indemnité forfaitaire de 40 EUR des le premier jour de retard, sans nécessite de mise en demeure préalable. Le Code des sociétés et des associations (CSA 2019) s'applique aux SRL et SA parties au contrat. La comptabilité des SaaS doit être tenue conforme au Code des impôts sur les revenus 1992 (CIR) et au Code TVA de 1969.

Sécurité des réseaux et des systèmes (Directive NIS2). La Directive UE 2022/2555 (NIS2), transposée en Belgique par la Loi du 26 avril 2024 relative a la cybersecurite, impose aux fournisseurs de services numériques essentiels ou importants des obligations de sécurité renforcées et de notification d'incidents. Le Centre pour la Cybersecurite Belgique (CCB) est l'autorité nationale compétente. Les fournisseurs SaaS servant des secteurs critiques (énergie, transport, santé, banque, infrastructure numérique) doivent se conformer au cadre NIS2.

Plusieurs erreurs fréquentes affectent la validité et l'opposabilité des Conditions Générales SaaS B2B belges.

Erreur 1 - Absence de clause DPA conforme RGPD art. 28. L'erreur la plus grave et la plus fréquente : aucune clause DPA dans les CGV SaaS alors que le logiciel traite des données personnelles des employés ou clients du Client. Cette absence viole directement l'art. 28 RGPD et expose le Client (responsable du traitement) a des amendes APD pouvant atteindre 4% du chiffre d'affaires mondial. Bonne pratique : intégrer une clause DPA complète dans les CGV SaaS ou sous forme d'annexe séparée signée, avec tous les éléments exiges par l'art. 28 RGPD.

Erreur 2 - SLA vague ou non mesurable. Beaucoup de CGV SaaS mentionnent un engagement de disponibilité sans préciser le mode de calcul, les exclusions applicables ou le mécanisme de compensation. Un SLA non mesurable n'est pas opposable. Bonne pratique : définir précisément la disponibilité (en pourcentage mensuel), les exclusions (maintenances programmées notifiées, pannes du Client), le mode de mesure (outil de monitoring identifie), le mécanisme de crédits (pourcentage de la redevance mensuelle selon le niveau d'écart du SLA).

Erreur 3 - Clause de limitation de responsabilité invalide en B2B belge. Certains éditeurs SaaS copient des CGV de droit américain ou anglais comportant des clauses d'exclusion totale de responsabilité qui sont invalides en droit belge. En Belgique, l'exclusion de responsabilité pour faute grave ou dol est nulle (art. 5.77 Code civil Livre 5). Bonne pratique : limiter la responsabilité aux dommages directs plafonnée a 12 mois de redevances, exclure les dommages indirects, préserver la responsabilité pour faute grave et dol.

Erreur 4 - Absence de clause de portabilité des données en fin de contrat. Des CGV SaaS qui ne prévoir pas la procédure d'export des données du Client en fin de contrat exposent l'éditeur a une action en responsabilité. Le Client peut se retrouver prisonnier du logiciel (vendor lock-in) sans possibilité de récupérer ses données. Bonne pratique : prévoir un export obligatoire dans un format standard portable (CSV, JSON ou XML) dans les 30 jours post-résiliation, suivi d'une suppression certifiée avec attestation.

Erreur 5 - Tacite reconduction sans information adéquate. Un contrat SaaS se reconduit automatiquement sans préavis adéquat peut être considère comme abusif même en B2B (art. VI.83 CDE liste grise B2B). Bonne pratique : préavis de résiliation clair (minimum 30 jours, 90 jours recommande pour les contrats annuels), rappel automatique envoyé au Client avant l'échéance, confirmation écrite de la reconduction.

Erreur 6 - Hébergement hors UE sans mesures de conformité RGPD adéquates. Utiliser des sous-traitants ultérieurs hébergeant des données hors UE (AWS US, Google Cloud US, Azuré US) sans clause de transfert international conforme expose l'éditeur SaaS et son client a des violations RGPD. Depuis l'arrêt Schrems II de la CJUE (16 juillet 2020), les transferts vers les USA requièrent des clauses contractuelles types (CCT 2021) et un transfer impact assessment (TIA). Bonne pratique : lister expressément les sous-traitants ultérieurs et les pays d'hébergement, prévoir les mécanismes de conformité RGPD pour chaque transfert hors UE.