Conditions Générales de Vente SaaS (Logiciel-Service) France

Les Conditions Générales de Vente SaaS (Logiciel-Service) en France sont des actes juridiques écrits et contraignants. Ils sont régis par Code civil art. 1710 (contrat de louage de services). Elles définissent le périmètre du service, les SLA, le prix, les obligations RGPD et la responsabilité entre les parties.

Le modèle SaaS diffère radicalement de la vente de logiciels en boîte (licence perpétuelle) : il n'y a pas de transfert de propriété du logiciel mais une mise à disposition temporaire en contrepartie d'un abonnement périodique (mensuel ou annuel). Juridiquement, il s'analyse comme un contrat mixte de louage de services (Code civil art. 1710), de contrat informatique soumis aux normes AFNOR et aux usages du secteur, et de contrat de sous-traitance de données au sens de l'article 28 du RGPD lorsque le fournisseur traite des données personnelles pour le compte du client. La Cour de cassation (Cass. com. 25 janvier 2017, n°15-17.203) a confirmé que la qualification juridique du SaaS dépend du contenu effectif de la prestation (accès à distance à un logiciel, hébergement des données, maintenance et mises à jour).

Les CGV SaaS en France doivent couvrir plusieurs dimensions contractuelles spécifiques : les niveaux de service (SLA - Service Level Agreement) exprimant les engagements de disponibilité (taux d'uptime, généralement 99,5 % à 99,99 %) et les pénalités en cas de non-respect, les conditions d'accès et d'utilisation du service (licences d'utilisation, nombre d'utilisateurs autorisés, restrictions d'usage), les obligations de sous-traitance RGPD (art. 28 du RGPD : accord de traitement de données - DPA, Data Processing Agreement - obligatoire lorsque le fournisseur SaaS traite des données personnelles pour le compte du client), la politique de sauvegarde et de récupération des données, et les conditions de résiliation et de portabilité des données.

Les CGV SaaS B2B et B2C obéissent à des régimes différents. Pour les clients professionnels (B2B), les CGV SaaS relèvent du Code de commerce (délais de paiement art. L441-10), du droit commun des contrats et du RGPD ; la liberté contractuelle est large mais le contrôle du déséquilibre significatif (Code de commerce art. L442-1) s'applique. Pour les clients consommateurs (B2C), les CGV SaaS doivent intégrer le droit de rétractation de 14 jours (Code conso. art. L221-18, sauf si le service a commencé avec l'accord exprès du consommateur - art. L221-28 13°), les garanties légales, l'interdiction des clauses abusives et la médiation obligatoire. Les Lignes directrices du Conseil national du numérique (CNNum) sur les contrats cloud publiées en 2022 recommandent des clauses de réversibilité permettant aux clients de récupérer leurs données en format standard à la résiliation.

Les CGV SaaS diffèrent des licences logicielles traditionnelles (Code de la propriété intellectuelle art. L122-6 sur les actes de reproduction et modification) en ce qu'elles n'accordent qu'un droit d'accès et d'utilisation non exclusif et non cessible au service en ligne, sans droit de modifier, décompiler ou distribuer le logiciel (CPI art. L122-6-1 sur la décompilation autorisée pour l'interopérabilité). La propriété intellectuelle du logiciel reste entièrement au fournisseur. Voir aussi la Politique de Confidentialité RGPD et l'Accord de Confidentialité (NDA) pour un dispositif contractuel complet adapté au marché français des éditeurs SaaS.

Les Conditions Générales de Vente SaaS en France sont nécessaires dès lors qu'un éditeur de logiciels propose un accès à son application hébergée dans le cloud en contrepartie d'un abonnement, que ce soit à des professionnels ou à des consommateurs.

Lancement d'une application SaaS à destination des professionnels. Tout éditeur de logiciels en mode cloud (CRM, ERP, comptabilité, RH, marketing automation, gestion de projet, veille concurrentielle) qui propose ses services à des entreprises françaises doit rédiger des CGV SaaS B2B précisant les conditions d'abonnement, les SLA, les niveaux de support, les conditions de traitement des données (accord de sous-traitance RGPD art. 28), et les conditions de résiliation et de portabilité des données. Sans CGV SaaS adaptées, le contrat risque d'être qualifié différemment (prestation informatique ponctuelle, contrat de maintenance) avec des conséquences juridiques différentes.

SaaS grand public et applications mobiles en abonnement. Pour les applications mobiles en abonnement (applications de productivité, fitness, langues, jeux en abonnement), les éditeurs doivent disposer de CGV SaaS B2C intégrant le droit de rétractation de 14 jours (sauf exception de l'article L221-28 13° du Code de la consommation si l'exécution du service a commencé avec l'accord exprès du consommateur), la médiation obligatoire, les clauses anti-abusives et les règles de résiliation simplifiée conformément à la loi n°2022-1158 du 16 août 2022 (résiliation en trois clics). La loi n°2023-451 du 9 juin 2023 sur les influenceurs impose en outre des règles spécifiques pour les abonnements promus par des influenceurs.

Certifications et marchés publics numériques. Les éditeurs SaaS qui répondent à des appels d'offres publics (marchés de l'État, collectivités territoriales, hôpitaux) doivent avoir des CGV SaaS compatibles avec les exigences du Code de la commande publique (art. L2112-4 sur les clauses contractuelles obligatoires) et du Référentiel Général de Sécurité (RGS version 2.0, ANSSI) pour les services traitant des données de santé (Hébergement des Données de Santé - HDS - certification ASIP Santé). Les conditions de localisation des données (cloud souverain français ou européen) sont souvent exigées par les acheteurs publics.

Expansion internationale et clients UE. Les éditeurs SaaS français qui ouvrent leur service à des clients d'autres États membres de l'UE doivent adapter leurs CGV SaaS aux règles du Règlement géoblocage 2018/302 (interdiction de discrimination géographique), du Règlement P2B 2019/1150 (si la plateforme SaaS est une place de marché pour des tiers), et du Data Act (Règlement UE 2023/2854 sur les données, applicable à partir du 12 septembre 2025) qui impose de nouvelles obligations sur la portabilité des données générées par les services numériques.

Mise en conformité après une décision CNIL ou un audit RGPD. Les éditeurs SaaS ayant reçu un avertissement ou une mise en demeure de la CNIL pour absence d'accord de traitement des données (DPA) avec leurs clients, ou pour insuffisance des CGV quant aux obligations RGPD, doivent procéder à une mise à jour urgente. La CNIL peut prononcer des amendes jusqu'à 20 millions d'euros ou 4 % du CA annuel mondial (RGPD art. 83). Les principaux manquements constatés lors des audits CNIL des éditeurs SaaS sont l'absence de DPA art. 28, la non-mention des sous-traitants ultérieurs (sous-processeurs, cloud providers), et l'insuffisance des mesures de sécurité documentées.

Les Conditions Générales de Vente SaaS en France comportent des clauses techniques et juridiques spécifiques qui distinguent ce type de contrat des CGV générales d'un vendeur de produits ou d'un prestataire de services classique.

Description du service SaaS et périmètre de la licence. Description précise du logiciel ou de l'application en mode cloud : fonctionnalités incluses dans chaque niveau d'abonnement (plan Starter, Plan Business, Plan Entreprise), nombre d'utilisateurs autorisés, volume de données stockées, accès aux API éventuel, fonctionnalités en option ou add-ons payants. Nature de la licence accordée : droit d'accès et d'utilisation non exclusif, non cessible et non transférable, limité au périmètre de l'abonnement souscrit (Code de la propriété intellectuelle art. L122-6). Interdiction explicite de décompiler, désassembler, modifier ou distribuer le logiciel (CPI art. L122-6-1, sauf interopérabilité). Propriété intellectuelle du logiciel, des développements et des mises à jour : reste entièrement au fournisseur.

Niveaux de service (SLA - Service Level Agreement). Engagement de disponibilité exprimé en pourcentage mensuel ou annuel (99,5 %, 99,9 %, 99,95 % ou 99,99 % selon l'offre). Définition précise du temps de service disponible (heures couvertes par le SLA), des exclusions (maintenance programmée, cas de force majeure, attaques DDoS, défaillances chez les hébergeurs tiers), et du mode de calcul du taux de disponibilité. Pénalités contractuelles en cas de non-respect du SLA : crédits de service (généralement exprimés en pourcentage du montant mensuel de l'abonnement par tranche de temps d'indisponibilité), avec un plafond de remboursement. La jurisprudence du Tribunal de commerce de Paris sur les contrats informatiques (TC Paris, 8 février 2019) admet les clauses de limitation de responsabilité aux crédits SLA pour les indisponibilités non intentionnelles.

Conditions d'abonnement, prix et renouvellement. Montant de l'abonnement (mensuel HT ou annuel HT), taux de TVA applicable (20 % standard pour les services numériques), modalités de paiement (prélèvement automatique SEPA, carte bancaire, virement), conditions de renouvellement automatique (avec notification préalable 30 jours avant l'échéance pour les abonnements B2B d'un an), conditions d'augmentation de prix (préavis minimum recommandé : 60 jours). Pour les abonnements B2C : les dispositions de la loi n°2022-1158 du 16 août 2022 imposent que la résiliation de tout abonnement soit possible en ligne en trois clics maximum (fonctionnalité de résiliation obligatoire). Le modèle disponible sur forms-legal.com couvre l'ensemble des clauses d'abonnement SaaS conformes au droit français.

Traitement des données personnelles et accord RGPD art. 28 (DPA). L'accord de traitement des données (Data Processing Agreement - DPA) est obligatoire au titre de l'article 28 du RGPD lorsque le fournisseur SaaS traite des données personnelles pour le compte du client (sous-traitant au sens du RGPD). Le DPA doit comporter : objet et durée du traitement, nature et finalité du traitement, type de données personnelles traitées, catégories de personnes concernées, obligations du sous-traitant (RGPD art. 28.3 : instructions documentées, confidentialité, sécurité, assistance au responsable du traitement, notification des violations, suppression ou restitution des données à la résiliation, audit). Le DPA peut être intégré aux CGV SaaS ou constituer une annexe séparée. La CNIL recommande que le DPA soit détaillé et documente les mesures de sécurité techniques et organisationnelles (RGPD art. 32).

Sous-traitants ultérieurs (sous-processeurs). Liste des sous-traitants ultérieurs (cloud providers : AWS, Google Cloud, Microsoft Azure, OVHcloud ; services d'analyse, de support, etc.) et mécanisme de notification au client en cas d'ajout ou de remplacement d'un sous-processeur (préavis de 30 jours recommandé). Transferts de données hors UE : mécanismes de transfert utilisés (clauses contractuelles types - CCT de la Commission européenne publiées le 4 juin 2021 ; décisions d'adéquation). La CNIL a mis à jour ses recommandations sur les transferts internationaux post-Schrems II (arrêt CJUE 16 juillet 2020).

Politique de sauvegarde et de récupération des données. Fréquence des sauvegardes (quotidienne, horaire), durée de rétention des sauvegardes, localisation des sauvegardes (France, UE), procédure de récupération des données en cas de sinistre (RTO - Recovery Time Objective, RPO - Recovery Point Objective). À la résiliation : obligation de mettre à disposition du client l'ensemble de ses données en format standard exportable (CSV, JSON, XML) pendant une période minimum de 30 à 90 jours (recommandation CNNum et Data Act 2025). Le Data Act (Règlement UE 2023/2854 applicable le 12 septembre 2025) imposera de nouvelles obligations de portabilité des données générées par les services numériques.

Résiliation, durée et portabilité des données. Conditions de résiliation par le client (résiliation à l'échéance de la période d'engagement, résiliation anticipée et remboursement éventuel de la période restante), conditions de résiliation par le fournisseur (pour non-paiement, violation des CGV, avec préavis). Garantie de portabilité des données à la résiliation : mise à disposition du client de toutes ses données en format standard exportable pendant 30 à 90 jours, sans frais supplémentaires ou avec des frais raisonnables documentés. Pour les clients sous Data Act (services connectés) : portabilité en temps réel vers un concurrent désigné.

Limitation de responsabilité et force majeure. Limitation de la responsabilité du fournisseur aux sommes payées par le client dans les 12 derniers mois (clause usuelle dans les CGV SaaS B2B, admise par la jurisprudence sous réserve d'exclusion du dol et de la faute lourde - Code civil art. 1231-3). Exclusion des dommages indirects (perte de données, perte de chiffre d'affaires, perte de réputation). Force majeure : définition (Code civil art. 1218), notification obligatoire, obligation de mitigation. Cas spécifiques SaaS : attaques DDoS, pannes du cloud provider, cyberattaques (si le fournisseur a pris les mesures de sécurité raisonnables selon l'art. 32 du RGPD).

Rédiger des CGV SaaS conformes en France nécessite de renseigner avec précision les clauses techniques et contractuelles spécifiques au modèle de logiciel en mode cloud.

Étape 1 - Identification du fournisseur SaaS. Dénomination sociale, forme juridique, SIREN, siège social, numéro de TVA intracommunautaire, coordonnées du service client (e-mail, téléphone), identité du Délégué à la Protection des Données (DPO) si désigné et son adresse de contact (obligatoire pour les traitements à grande échelle, RGPD art. 37).

Étape 2 - Description détaillée du service et des plans d'abonnement. Listez chaque niveau d'abonnement avec ses fonctionnalités incluses, les limites d'utilisation (nombre d'utilisateurs, volume de stockage, appels API), les fonctionnalités réservées aux plans supérieurs. Décrivez la nature de l'accès : via navigateur web, application mobile iOS/Android, API REST. Précisez les conditions d'accès aux périodes d'essai gratuites (durée, fonctionnalités accessibles, passage automatique ou manuel en abonnement payant).

Étape 3 - Rédaction des SLA (niveaux de service). Définissez le taux de disponibilité garanti par plan (ex : 99,5 % pour le plan Starter, 99,9 % pour le plan Business, 99,99 % pour le plan Entreprise). Précisez la fenêtre de mesure (mensuelle, trimestrielle), les plages d'exclusion (maintenances programmées annoncées 48 heures à l'avance, cas de force majeure). Détaillez le barème des crédits SLA en cas de non-respect (ex : disponibilité 99 % à 99,5 % = crédit 5 % du mois ; 95 % à 99 % = 10 % ; en dessous de 95 % = 25 %). Précisez le délai et la procédure pour réclamer un crédit SLA (généralement demande dans les 30 jours suivant l'incident).

Étape 4 - Accord de traitement des données RGPD (DPA). Complétez les informations sur les traitements de données personnelles : nature du traitement (hébergement et traitement de données pour le compte du client), types de données (selon votre service : données de contact, données de transaction, données comportementales), catégories de personnes concernées (clients du client, salariés du client). Listez les sous-processeurs utilisés (cloud provider, services de monitoring, service de support). Indiquez les mécanismes de transfert hors UE. Décrivez les mesures de sécurité techniques (chiffrement AES-256, TLS 1.2+, authentification à deux facteurs, journalisation des accès, tests d'intrusion annuels selon le référentiel ANSSI).

Étape 5 - Politique de sauvegarde et portabilité. Précisez la fréquence des sauvegardes (quotidienne à 23h00 UTC, conservation 30 jours par exemple), la localisation des sauvegardes (France, Allemagne, UE), la procédure de restauration (RTO : 4 heures, RPO : 24 heures). Décrivez le format d'export des données disponible pour le client (CSV pour les données tabulaires, JSON pour les données structurées, exports complets via API) et le délai de disponibilité après résiliation (90 jours recommandé).

Étape 6 - Conditions de résiliation (B2B). Précisez la durée d'engagement initiale (1 mois, 6 mois, 12 mois), les conditions de renouvellement automatique (préavis de résiliation : 30 jours avant échéance pour les plans mensuels, 60 jours pour les plans annuels), les conditions de résiliation anticipée (indemnité de résiliation éventuelle exprimée en pourcentage du solde restant), les conditions de résiliation pour cause (violation des conditions d'utilisation, défaut de paiement après mise en demeure restée sans effet 15 jours).

Étape 7 - Conditions d'utilisation acceptable (AUP). Définissez les usages autorisés et interdits du service (interdiction de spam, scraping, reverse engineering, revente d'accès, utilisation à des fins illicites). Précisez les conséquences d'une violation des conditions d'utilisation (suspension temporaire, résiliation immédiate). Définissez les limites de débit (rate limiting) et les conditions d'accès à l'API si applicable.

Les CGV SaaS en France sont soumises à un ensemble de textes légaux spécifiques au secteur numérique et au traitement des données personnelles dont le non-respect peut entraîner des sanctions sévères.

Obligation d'accord de sous-traitance RGPD (art. 28). Lorsque le fournisseur SaaS traite des données personnelles pour le compte du client, il est qualifié de sous-traitant au sens de l'article 4.8 du RGPD. Un accord de sous-traitance écrit est obligatoire (RGPD art. 28.3) comportant les éléments listés aux points a) à h) : instructions documentées, confidentialité, mesures de sécurité art. 32, recours aux sous-traitants ultérieurs, assistance au responsable du traitement, suppression ou restitution des données, audit. L'absence de DPA est une violation du RGPD exposant le fournisseur SaaS à une amende administrative de la CNIL jusqu'à 10 millions d'euros ou 2 % du CA annuel mondial (RGPD art. 83.4). La CNIL a sanctionné plusieurs éditeurs SaaS en 2022-2024 pour absence de DPA ou DPA insuffisant.

Sécurité des données (RGPD art. 32). Le fournisseur SaaS, en tant que sous-traitant, est tenu de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque : chiffrement des données au repos et en transit, contrôle des accès (authentification forte), journalisation et surveillance, tests de sécurité réguliers, plan de réponse aux incidents. Le référentiel SecNumCloud de l'ANSSI constitue la référence française pour la qualification des fournisseurs cloud. La qualification HDS (Hébergeurs de Données de Santé) de l'ANS est obligatoire pour les services SaaS traitant des données de santé à caractère personnel.

Résiliation simplifiée des abonnements numériques (loi n°2022-1158). Pour les abonnements de services numériques souscrits en ligne par des consommateurs (B2C), la loi n°2022-1158 du 16 août 2022 dite loi résiliation en trois clics impose que la résiliation soit possible directement en ligne via une fonctionnalité dédiée accessible en trois clics maximum depuis l'interface du service ou du site. Cette obligation est entrée en vigueur le 1er juin 2023 et est contrôlée par la DGCCRF.

Portabilité des données et Data Act 2025. Le Règlement UE 2023/2854 relatif aux données (Data Act), applicable à partir du 12 septembre 2025, introduit de nouvelles obligations pour les fournisseurs de services numériques : obligation de portabilité des données générées par l'utilisation du service, obligation de faciliter le changement de fournisseur (switching), obligation de transparence sur les données générées et utilisées. Les CGV SaaS devront être mises à jour avant le 12 septembre 2025 pour intégrer ces nouvelles obligations.

Propriété intellectuelle du logiciel (Code de la propriété intellectuelle). Le logiciel SaaS est protégé par le droit d'auteur (CPI art. L111-1, L113-9 pour les logiciels créés par des salariés). La licence accordée au client est une licence d'utilisation non exclusive et non cessible, limitée aux droits nécessaires à l'utilisation du service (CPI art. L122-6). Le client ne peut pas décompiler le logiciel, sauf pour les besoins de l'interopérabilité (CPI art. L122-6-1). Toute violation des droits de propriété intellectuelle expose le client à une action en contrefaçon devant le Tribunal judiciaire (CPI art. L335-2 : jusqu'à 3 ans d'emprisonnement et 300 000 euros d'amende).

Les erreurs les plus fréquentes dans les CGV SaaS en France exposent les éditeurs à des sanctions CNIL, des litiges clients et des failles contractuelles.

Erreur 1 - Absence d'accord de traitement des données (DPA) RGPD. La majorité des éditeurs SaaS français omettent d'intégrer un accord de traitement des données conforme à l'article 28 du RGPD dans leurs CGV ou en annexe. Cette omission expose à des amendes CNIL jusqu'à 10 millions d'euros ou 2 % du CA mondial. Intégrez systématiquement un DPA complet (art. 28.3 points a) à h)) dans les CGV SaaS ou en annexe distincte, avec liste des sous-processeurs et mécanismes de transfert hors UE.

Erreur 2 - SLA non chiffrés ou sans mécanisme de crédit. Des CGV SaaS mentionnant vaguement « un haut niveau de disponibilité » ou « les meilleures pratiques » sans taux de disponibilité chiffré ni barème de crédits sont inopposables en cas de litige. En l'absence de SLA chiffrés, le client peut invoquer l'inexécution du contrat et demander des dommages-intérêts intégraux au titre de l'article 1231-1 du Code civil. Rédigez des SLA précis avec formule de calcul, exclusions documentées et barème de crédits dégressifs.

Erreur 3 - Clause de limitation de responsabilité couvrant le dol et la faute lourde. Les clauses limitant la responsabilité du fournisseur en cas de dol ou de faute lourde sont contraires à l'article 1231-3 al. 2 du Code civil et réputées non écrites. Ajoutez systématiquement l'exception : « La présente limitation de responsabilité ne s'applique pas en cas de dol ou de faute lourde du Fournisseur, ni pour les dommages corporels ou la violation du droit de la protection des données ».

Erreur 4 - Absence de clause de portabilité des données à la résiliation. Sans clause de portabilité des données, le client risque de se trouver enfermé dans le service (vendor lock-in) et de perdre ses données à la résiliation. Le Data Act (applicable le 12 septembre 2025) renforcera ces obligations. Prévoyez explicitement un délai de récupération des données après résiliation (minimum 30 jours, recommandé 90 jours), les formats d'export disponibles et l'absence de frais supplémentaires pour l'export standard.

Erreur 5 - Non-conformité de la résiliation pour les abonnements B2C. Pour les abonnements de services numériques B2C, l'absence de fonctionnalité de résiliation en ligne en trois clics expose à des sanctions de la DGCCRF depuis le 1er juin 2023 (loi n°2022-1158). Veillez à ce que le processus de résiliation en ligne soit effectivement fonctionnel et accessible depuis l'interface utilisateur.

Erreur 6 - CGV SaaS applicables indifféremment aux clients B2B et B2C. Les obligations légales diffèrent radicalement selon que le client est un professionnel ou un consommateur. Des CGV SaaS uniques applicables aux deux types de clients créent des incohérences : un consommateur bénéficie d'un droit de rétractation de 14 jours, d'une protection contre les clauses abusives et d'une médiation obligatoire qui ne s'appliquent pas aux professionnels. Prévoyez deux jeux de CGV ou une section spécifique pour chaque type de client avec les droits applicables.