14.04.26
Éclairages juridiques • Droit du numérique, données et conformité

Mutation du contrat SaaS (1) – le Data Act et la fin du SaaS verrouillé 

Entré en application le 12 septembre 2025, le Data Act (Règlement UE 2023/2854) s’inscrit dans la stratégie européenne visant à structurer une économie de la donnée plus ouverte et plus équitable.

S’il couvre un champ large, incluant notamment les objets connectés et le partage de données entre acteurs économiques, ce règlement emporte des conséquences particulièrement significatives pour les services cloud — et notamment les modèles SaaS qui vont nous intéresser dans cet article.

En effet, il remet en cause l’un des fondements historiques de ces services : la dépendance technique et contractuelle du client à son fournisseur. 

Le règlement introduit ainsi un ensemble de règles destinées à faciliter la circulation des données entre les acteurs économiques, tout en garantissant leur confidentialité. Il poursuit, à cet égard, un objectif central : assurer une meilleure répartition de la valeur issue de l’utilisation des données.

1️⃣ L’application aux services SaaS

    Le Data Act vise les « services de traitement de données », notion qui recouvre les principaux modèles de cloud computing :

    • l’infrastructure à la demande (IaaS),
    • la plateforme à la demande (PaaS),
    • et le logiciel à la demande (SaaS).

    Ces services se caractérisent par leur accessibilité à distance, leur flexibilité et l’externalisation des ressources informatiques.

    Le SaaS, en particulier, est définit comme constituant un mode de mise à disposition de solutions logicielles dans lequel l’installation, l’hébergement et la maintenance sont entièrement assurés par le fournisseur. L’utilisateur dépend ainsi à la fois de la solution et des ressources nécessaires à son fonctionnement.

    Cette définition a d’ailleurs été reprise en droit français par la Loi n° 2024-449 du 21 mai 2024 (SREN), qui anticipe une partie des obligations issues du Data Act.

    Les logiciels exclusivement déployés en local (« on-premise ») échappent au champ d’application du règlement.

    Toutefois, dès lors qu’une composante du service repose sur le cloud (sauvegarde, synchronisation, support à distance), les obligations du Data Act s’appliquent à cette partie.

    2️⃣ Les principaux impacts sur les contrats SaaS 

    La portabilité des données. Le Data Act, comme la loi SREN, renvoient à la notion de portabilité prévue par la norme ISO/IEC 1941:2017 : « capacité à transférer facilement des données d’un système à l’autre sans avoir à les saisir à nouveau ». 

    Aussi, le règlement prévoit que le client doit pouvoir accéder, à tout moment, aux données générées par l’utilisation du service. Ces données doivent être fournies dans un format structuré, couramment utilisé et lisible par machine.

    Cette exigence limite fortement la possibilité pour le fournisseur de restreindre l’accès aux données, notamment en se fondant sur des droits de propriété intellectuelle.

    L’interopérabilité. Le Data Act, de même que la loi SREN, imposent également la mise à disposition d’interfaces ouvertes permettant la communication avec d’autres services.

    L’objectif est de permettre :

    • le développement d’outils compatibles,
    • l’intégration dans des environnements multi-fournisseurs,
    • et, plus largement, la fluidité des échanges de données.

    Le Switching and Exit. Le cœur du dispositif réside dans l’organisation du changement de fournisseur et la sortie du contrat.

    Le client doit pouvoir :

    • changer de fournisseur,
    • migrer vers une solution concurrente,
    • ou rapatrier ses données sur une infrastructure interne.

    Ce processus est encadré par des exigences précises :

    • un préavis maximal de deux mois,
    • une durée de migration n’excédant pas 30 jours, sauf impossibilité technique,
    • une obligation d’assistance du fournisseur,
    • et le maintien de la continuité de service pendant la transition.

    Le contrat SaaS doit ainsi intégrer, dès sa conclusion, les conditions de sa propre sortie.

    La remise en cause des frais de sortie. Le Data Act encadre strictement les frais liés au changement de prestataire, traditionnellement utilisés comme levier de rétention des clients.

    Jusqu’au 12 janvier 2027, les fournisseurs peuvent encore facturer les coûts directement liés au changement de prestataire et à la sortie des données. Passée cette date, ces frais seront entièrement supprimés : aucune facturation ne pourra être appliquée pour faciliter la portabilité des données ou le transfert vers un autre service.

    La France a anticipé ce régime via l’article 27 de la loi SREN, qui impose déjà que les frais de transfert et de changement soient limités aux coûts réellement supportés, tout en renforçant l’obligation d’information des clients sur leur nature et leur montant.

    Ce dispositif supprime un obstacle économique majeur au changement de fournisseur et favorise la concurrence sur le marché du cloud.

    Sécurité et continuité d’activité. Le Data Act prévoit des obligations à la charge du fournisseur du service SaaS, qui doit maintenir un niveau élevé de sécurité et de continuité pendant le transfert des données et toute période de récupération, en assurant la fourniture des fonctions et services et en informant les clients des risques connus. 

    Rééquilibrage contractuel. De manière générale, de nombreuses dispositions du Data Act visent à favoriser l’instauration de contrats SaaS équitables, raisonnables et non discriminatoires. A ce titre, il établit notamment une liste non exhaustive des clauses contractuelles considérées comme abusives ou présumées abusives lorsqu’elles traitent de la mise à disposition des données et sont imposées unilatéralement. 

    3️⃣ Perspectives

    Le Data Act marque ainsi la fin d’un modèle de SaaS fondé sur la dépendance du client. Il ouvre la voie à un environnement plus ouvert et concurrentiel, dans lequel la mobilité des données devient un principe structurant.

    Cette transformation s’accompagne toutefois d’un encadrement contractuel renforcé. A cette fin, plusieurs outils peuvent être utilisés : les recommandations de l’Arcep sur l’interopérabilité et la portabilité du 25 septembre 2025, le Code de conduite SWIPO SaaS, ou encore l’ensemble de clauses types publiées par la Commission européenne.

    Ces dernières feront l’objet d’un second volet dans cette série d’articles relatifs à la mutation des contrats SaaS.

    Le département Droit du numérique, données & conformité peut vous accompagner dans la gestion de votre conformité en matière de données personnelles.

    Pour toute question, n’hésitez pas à nous contacter.

    Powered by  GDPR Cookie Compliance
    Résumé de la politique de confidentialité

    Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.