Un client qui déploie un logiciel SaaS pour une fonction critique de son activité prend un risque opérationnel : si l'éditeur cesse son activité, est acquis par un concurrent ou décide d'abandonner le produit, le client peut se retrouver sans accès à son service et sans moyen de le maintenir ou de le migrer. L'escrow de code source (ou accord de séquestre de code source) est le mécanisme contractuel qui protège le client contre ce risque en organisant le dépôt du code source auprès d'un tiers de confiance et sa libération dans des conditions définies.
Comment fonctionne le mécanisme
L'escrow de code source implique trois parties : l'éditeur du logiciel, le client (bénéficiaire de l'escrow) et un tiers séquestre (escrow agent) indépendant. L'éditeur dépose périodiquement le code source du logiciel (avec sa documentation, ses scripts de déploiement et toute la documentation technique nécessaire à son exploitation) auprès du tiers séquestre. Le tiers séquestre conserve le dépôt en toute confidentialité et ne le libère au client que lorsque les conditions de déclenchement définies dans l'accord sont réunies.
Les conditions de déclenchement
Les conditions de déclenchement — appelées release conditions — sont le cœur de l'accord d'escrow. Elles doivent être précisément définies pour être à la fois protectrices pour le client et acceptables pour l'éditeur. Les conditions les plus couramment retenues incluent : l'ouverture d'une procédure collective à l'encontre de l'éditeur (liquidation judiciaire, redressement judiciaire), la cessation d'activité de l'éditeur, l'arrêt du support et de la maintenance du logiciel pendant une durée définie, la cession du logiciel à un tiers qui n'accepte pas de reprendre les obligations de l'éditeur, et le manquement grave et persistant aux engagements contractuels (indisponibilité prolongée par exemple).
Les conditions de déclenchement doivent être objectives et vérifiables pour éviter des contestations sur leur réalisation. Une condition vague du type « toute situation mettant en péril la continuité du service » est source de litiges.
Le contenu du dépôt
Pour que l'escrow soit utile, le code source déposé doit être suffisamment complet pour permettre au client (ou à un prestataire qu'il mandatera) de maintenir et de faire évoluer le logiciel. Le dépôt doit comprendre le code source dans sa version la plus récente, la documentation technique, les scripts de compilation et de déploiement, les fichiers de configuration et, si pertinent, les clés de licence des outils utilisés. L'accord doit prévoir la fréquence des mises à jour du dépôt et la procédure de vérification de sa complétude.
Le droit d'usage du code libéré
La libération du code source au client ne lui confère pas automatiquement tous les droits sur ce code. L'accord d'escrow doit préciser les droits accordés au client en cas de libération : droit d'utiliser le code, de le modifier, de le faire maintenir par un tiers. Ces droits doivent être cohérents avec les droits de propriété intellectuelle de l'éditeur sur le code.
Pour un accompagnement dans la structuration de vos contrats SaaS, consultez notre page dédiée à l'avocat SaaS et à l'avocat contrats informatiques.
