Mutation du contrat SaaS (2) – comprendre et appliquer les clauses types de la Commission pour le Data Act
Dans le prolongement du Data Act (Règlement UE 2023/2854), la Commission européenne a élaboré des clauses contractuelles types destinées à accompagner la mise en œuvre opérationnelle du règlement.
Ces clauses (sous forme de modèles contractuels ou d’ensemble de clauses contractuelles types) accompagnées de notes explicatives, s’inscrivent dans une logique de soft law : elles ne sont pas obligatoires, mais sont proposées dans l’objectif de guider les entreprises dans la rédaction de contrats conformes au Data Act.
Loin de constituer un simple outil technique, ces clauses participent d’un mouvement plus profond : la standardisation du contrat SaaS à l’échelle européenne. Elles traduisent en termes contractuels les exigences du Data Act et contribuent à redéfinir l’équilibre des relations entre prestataire et clients.
1/ Les modèles contractuels de partage de données (MCT)
Les modèles contractuels types (MCT) (annexes II à V de la communication de la Commission), concernent principalement les situations de partage de données prévues par le Data Act aux chapitres II et IV.
Trois MCT couvrent les relations dans lesquelles le partage de données est obligatoire : lors de l’utilisation de produits ou services connectés.
En effet, les articles 4 et 5 du chapitre II instaurent un droit au partage des données au bénéfice de l’utilisateur, et le chapitre III précise les obligations pesant sur le détenteur de données.
Elles s’appliquent ainsi au service SaaS lorsqu’il fait partie d’un écosystème de produits connectés et traite des données générées par leur utilisation.
Un quatrième modèle encadre les situations de partage volontaire de données – c’est-à-dire lorsque le détendeur de données décide de les mettre à disposition d’un destinataire sans y être contraint par le Data Act ou tout autre disposition légale applicable.
Pour un service SaaS, l’intérêt apparait dès lors que le service permet aux clients de partager des données avec d’autres entreprises, même en dehors d’un contexte d’objets connectés.
2/ Les clauses contractuelles types spécifiques aux Contrats SaaS
Les clauses contractuelles types (CCT) relatives aux services cloud (annexes VI à XII de la communication de la Commission) constituent le cœur du dispositif pour les contrats SaaS. Elles traduisent les dispositions du chapitre VI du Data Act en clauses intégrables dans les contrats.
Ces clauses ont vocation à s’appliquer à l’ensemble des services SaaS constituant un service de traitement de données (art. 2 du Data Act - CRM, ERP, outils collaboratifs, plateformes marketing, stockage cloud, …).
Une exception importante est toutefois prévue à l’article 31 du Data Act : certains services entièrement sur mesure, non proposés à grande échelle et faisant l’objet d’une information préalable du client peuvent échapper, en tout ou partie, aux obligations du règlement.
Switching & Exit. Les clauses dites “Switching & Exit” organisent le changement de fournisseur et la sortie du contrat.
Elles prévoient notamment :
- Un plan de réversibilité détaillant les données et actifs exportables, les étapes du processus, les responsabilités, les formats et méthodes de portabilité, ainsi que les tests nécessaires pour vérifier la faisabilité de la migration ;
- Les informations préalables sur les frais standards, frais de portabilité et éventuelles contraintes techniques ou limitations ;
- l’assistance du prestataire pendant la migration,
- les obligations du client, notamment la récupération et l’importation des données et le respect des droits de propriété intellectuelle et secrets d’affaires du prestataire,
- La période de transition (maximum 30 jours, avec possibilité de prorogation), ainsi que les modalités en cas d’échec du processus,
- La récupération ou suppression définitive des données à l’issue du processus.
Elles prévoient deux approches :
- une option A, reposant sur un plan de réversibilité détaillé dès la conclusion du contrat ;
- une option B, fondée sur l’utilisation d’outils automatisés de transfert.
Elles encadrent également les frais de sortie, conformément à l’article 29 : autorisés jusqu’au 12 janvier 2027 dans la limite des coûts supportés, puis supprimés.
Résiliation. Les clauses relatives à la résiliation consacrent une évolution : la fin du contrat devient la conséquence directe du processus de switching. Le contrat est ainsi résilié :
- soit à l’issue d’un changement de fournisseur réussi,
- soit après suppression effective des données à la demande du client.
Sécurité et continuité. Les clauses relatives à la sécurité et à la continuité d’activité précisent les obligations du fournisseur pendant la phase de switching. Dans le prolongement du considérant 94 et de l’article 25 du Data Act, elles imposent :
- le maintien d’un niveau élevé de sécurité,
- la continuité des services,
- l’information du client sur les risques connus.
Elles introduisent également :
- des exigences de gestion des incidents,
- des obligations de démonstration des mesures mises en œuvre.
Clauses instaurant un rééquilibrage contractuel. Enfin, plusieurs clauses visent à encadrer la relation entre les parties :
- non-dispersion : centralisation des informations contractuelles essentielles,
- non-modification unilatérale : limitation des pouvoirs de modification du prestataire,
- responsabilité : répartition plus équilibrée des risques.
Ces clauses traduisent une volonté d’éviter que des déséquilibres contractuels ne viennent neutraliser les droits issus du Data Act.
3/ Clausier SaaS et vision pratique
Les clauses types ne constituent pas un simple guide rédactionnel. Elles deviennent un outil stratégique :
- pour les clients, un levier de négociation permettant d’imposer des standards élevés ;
- pour les prestataires, un instrument de conformité et de sécurisation juridique.
Il peut néanmoins être difficile, au milieu des 166 pages d’annexes produites par la Commission, d’identifier quelles clauses du Data Act sont réellement pertinentes pour son contrat.
Cette difficulté est renforcée par la multitude de réglementations applicables aux services SaaS – IA Act, DORA, NIS2, RGPD, etc. – qui impose de tenir compte de plusieurs obligations simultanément.
Le département Contrats informatiques, données & conformité a ainsi élaboré un clausier complet pour les contrats SaaS afin d’accompagner ses clients dans cette mise en conformité Ce clausier reprend non seulement les clauses types nécessaires au respect du Data Act, mais intègre également les autres obligations réglementaires simultanément.
Pour toute question ou accompagnement, n’hésitez pas à nous contacter.