01 85 73 56 66
Prendre rendez-vous

Contrat SaaS : qui est responsable en cas de perte de données client ?

  • Nouvelles technologies
  • contrats informatiques, escrow, réversibilité, SaaS, SLA
Contrat SaaS : qui est responsable en cas de perte de données client ?
Sommaire

En cas de perte de données client, la responsabilité du prestataire SaaS s'apprécie sur deux fondements parallèles : la responsabilité contractuelle (article 1231-1 du Code civil) et la responsabilité au titre du RGPD (article 82 du règlement). Le contrat fixe généralement un plafond de responsabilité (souvent 12 mois de redevances), mais ce plafond ne s'applique pas en cas de faute lourde, et il ne peut écarter la responsabilité RGPD vis-à-vis des personnes concernées. Le prestataire reste exposé à un risque résiduel non plafonnable.

Le double régime applicable

Une perte de données client déclenche simultanément :

  • Une responsabilité contractuelle fondée sur l'article 1231-1 du Code civil : réparation du préjudice subi par le client (manque à gagner, frais de reconstruction, atteinte à l'image).
  • Une responsabilité fondée sur le RGPD si les données perdues sont à caractère personnel : réparation des dommages causés aux personnes concernées (clients, salariés, contacts du client).
  • Une responsabilité administrative avec l'éventualité de sanctions pécuniaires de la CNIL pouvant atteindre 4 % du chiffre d'affaires mondial annuel.
  • Une responsabilité pénale dans les cas extrêmes (négligence caractérisée traitée comme atteinte aux droits des personnes, articles 226-16 et suivants du Code pénal).

Le rôle déterminant de la qualification d'obligation

L'engagement du prestataire SaaS sur la conservation des données est-il une obligation de moyens ou de résultat ?

  • Si obligation de résultat (engagement contractuel chiffré sur la disponibilité, sauvegardes garanties) : la perte engage automatiquement la responsabilité du prestataire, sauf cas de force majeure ou fait extérieur.
  • Si obligation de moyens (engagement de mettre en œuvre des dispositifs raisonnables sans garantie de conservation) : le client doit prouver la faute du prestataire (carence dans les sauvegardes, sécurité insuffisante).
  • Si obligation de moyens renforcée (présomption de faute en cas de perte) : le prestataire doit démontrer qu'il a mis en œuvre les diligences requises pour s'exonérer.

La pratique majoritaire en SaaS B2B : obligation de moyens renforcée, avec engagements concrets sur la périodicité des sauvegardes et la rétention.

Les obligations du prestataire au titre du RGPD

L'article 32 du RGPD impose au prestataire (sous-traitant) la mise en œuvre de mesures techniques et organisationnelles appropriées pour assurer la sécurité du traitement, incluant :

  • la pseudonymisation et le chiffrement des données personnelles ;
  • la capacité à garantir la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes ;
  • la capacité à rétablir la disponibilité et l'accès aux données en cas d'incident ;
  • une procédure visant à tester et évaluer régulièrement l'efficacité des mesures.

L'article 33 du RGPD impose, en cas de violation de données, une notification à la CNIL dans les 72 heures et, dans certains cas, aux personnes concernées (article 34).

Le contrat de sous-traitance (DPA)

L'article 28 du RGPD exige un contrat écrit entre responsable de traitement (le client) et sous-traitant (le prestataire SaaS), couvrant :

  • l'objet et la durée du traitement ;
  • la nature et la finalité du traitement ;
  • le type de données et les catégories de personnes concernées ;
  • les obligations et droits du responsable ;
  • les engagements du sous-traitant en matière de sécurité, confidentialité, sous-traitance ultérieure, assistance.

Le DPA prévoit en pratique des engagements de sécurité : chiffrement, sauvegardes, audits, certifications (ISO 27001, SecNumCloud, HDS pour les données de santé). L'inexécution de ces engagements caractérise la faute contractuelle.

Le plafond de responsabilité contractuel

La majorité des contrats SaaS plafonnent la responsabilité contractuelle :

  • 12 mois de redevances : standard SaaS B2B classique.
  • 24 mois de redevances : prestation critique, négociation avec un client important.
  • Montant fixe : parfois rencontré, à manier avec précaution car déconnecté de la valeur du contrat.

Limites du plafond :

  • Faute lourde ou dolosive : le plafond ne s'applique pas. La faute lourde est caractérisée par une négligence d'une exceptionnelle gravité confinant au dol.
  • Manquement à une obligation essentielle : jurisprudence Faurecia (Cour de cassation, com., 29 juin 2010) : une clause limitative qui vide l'obligation essentielle de sa substance est réputée non écrite.
  • Atteinte aux personnes concernées par le RGPD : les engagements contractuels entre prestataire et client n'opposent pas leur plafond aux personnes concernées qui peuvent agir directement contre le prestataire.

Les exclusions de responsabilité fréquentes

  • Force majeure au sens de l'article 1218 du Code civil.
  • Fait du client : erreur de manipulation, suppression volontaire, mauvaise configuration.
  • Fait d'un tiers : cyberattaque massive, faille zero-day non publiée.
  • Préjudices indirects : perte de chance, manque à gagner, atteinte à l'image. Exclusion fréquente mais à manier prudemment.

Attention : une exclusion totale des préjudices indirects peut être requalifiée en clause vidant l'obligation essentielle. La rédaction doit préciser ce qui est exclu et ce qui ne l'est pas.

Les engagements concrets à inscrire au contrat

  1. Périodicité des sauvegardes : incrémentales horaires, complètes quotidiennes, archives hebdomadaires.
  2. Localisation des sauvegardes : data center principal, site secondaire géographiquement distant.
  3. Durée de rétention : 30 jours minimum, souvent 90 jours pour les sauvegardes complètes.
  4. Procédure de restauration : délai d'intervention, périmètre restaurable, processus de validation.
  5. Tests de restauration : fréquence (typiquement trimestrielle), preuve fournie au client.
  6. Engagement RPO et RTO : Recovery Point Objective (perte de données maximale tolérée, par exemple 1 heure) et Recovery Time Objective (temps de rétablissement, par exemple 4 heures).
  7. Audit de sécurité : certifications du prestataire, audits indépendants, rapports communiqués au client.

La gestion d'un incident de perte de données

  1. Détection et qualification : identifier l'ampleur, le périmètre, la cause.
  2. Notification interne et au client : dans les délais contractuels (souvent 24 heures).
  3. Notification CNIL si données personnelles : 72 heures pour le responsable de traitement.
  4. Notification aux personnes concernées : si risque élevé pour les droits et libertés (article 34 RGPD).
  5. Mise en œuvre du plan de restauration : documentation des actions, pour preuve ultérieure.
  6. Analyse post-incident (post-mortem) : rapport au client, mesures correctrices.
  7. Évaluation des préjudices : indemnisation contractuelle (SLA, clauses de pénalités), réparation complémentaire éventuelle.

L'assurance cyber

Une assurance cyber couvre généralement :

  • Les frais de gestion d'incident (forensique, communication, expertise).
  • Les amendes administratives (selon la juridiction).
  • La responsabilité civile professionnelle vis-à-vis des clients.
  • Les frais de notification aux personnes concernées.
  • Les pertes d'exploitation du prestataire.

Recommandation : le prestataire SaaS doit souscrire une cyber-assurance dimensionnée au-delà du plafond contractuel. Le client peut exiger contractuellement la justification annuelle de la couverture.

Pièges fréquents

  • Plafond unique sans distinction des fondements : le même plafond appliqué à la responsabilité contractuelle et au RGPD masque le risque RGPD non plafonnable vis-à-vis des personnes concernées.
  • Clause « tous dommages confondus » : ambiguë, source de litiges sur l'exclusion ou non des préjudices indirects.
  • Sauvegardes non testées : le client découvre lors de l'incident que les sauvegardes sont corrompues ou non restaurables.
  • DPA non signé ou générique : le contrat de sous-traitance est insuffisamment détaillé, source de contentieux RGPD.
  • Engagements RPO/RTO non chiffrés : l'absence d'objectif chiffré laisse trop de marge d'interprétation.
  • Notification trop tardive : dépassement des délais RGPD, sanction CNIL.
  • Cyber-assurance insuffisante : en cas d'incident majeur, le prestataire doit absorber le préjudice sur ses fonds propres.

La gestion contractuelle de la perte de données impose une articulation rigoureuse entre les exigences contractuelles, les obligations RGPD et la couverture assurantielle. Chaque situation est particulière et appelle une analyse au cas par cas.

Pour aller plus loin

Notre dossier complet : Avocat SaaS.

Articles liés

Lire aussi:
  1. SLA (Service Level Agreement) : comment rédiger les pénalités de disponibilité ?
  2. Comment modifier légalement le prix d’un abonnement SaaS en cours de contrat ?
  3. Escrow agreement (entiercement) : comment protéger le code source d’un SaaS ?
  4. Contrat SaaS : clauses essentielles à négocier
Image de Maitre Arnaud Touati
Maitre Arnaud Touati
Maître Arnaud Touati est un avocat spécialisé dans les nouvelles technologies, particulièrement reconnu pour son expertise en blockchain, intelligence artificielle et Web 3. Diplômé de l'Université Panthéon-Sorbonne et Panthéon-Assas, il a complété sa formation par un Master of Laws à Northwestern University aux États-Unis. Fondateur de Hashtag Avocats depuis 2015 et de LawForCode depuis 2023, il accompagne plus de 300 startups dans leurs enjeux juridiques digitaux. Inscrit aux barreaux de Paris et Luxembourg, il enseigne également dans plusieurs établissements prestigieux et intervient comme expert en droit de la cryptofinance et régulation du Web 3.

* Les articles publiés sur ce site sont rédigés à titre strictement informatif. Ils ne constituent en aucun cas une consultation juridique, un avis juridique, ni une recommandation personnalisée.

Le cabinet Hashtag Avocats, ses associés et ses collaborateurs ne sauraient être tenus responsables de l’utilisation, de l’interprétation ou des conséquences liées à l’exploitation des informations contenues dans ces articles.

Malgré notre vigilance, nous ne garantissons ni l’exactitude, ni l’exhaustivité, ni la mise à jour des informations diffusées sur ce site. Les textes peuvent contenir des erreurs, des omissions ou devenir obsolètes en raison de l’évolution du droit ou de la jurisprudence.

Les visiteurs sont expressément invités à consulter un avocat qualifié avant de prendre toute décision juridique ou d’entreprendre une démarche sur la base des informations présentes sur ce site.

En aucun cas, Hashtag Avocats, ses associés ou collaborateurs ne pourront être tenus responsables d’un préjudice, direct ou indirect, résultant de l’utilisation du contenu publié sur ce site.

L’accès et la consultation des articles impliquent l’acceptation pleine et entière de cette clause de non-responsabilité.

Parlez-nous de votre besoin

Les données ci-dessus sont recueillies par le cabinet HASHTAG AVOCATS afin de traiter et suivre votre demande de contact. Pour en savoir plus sur la gestion de vos données à caractère personnel et pour exercer vos droits, vous pouvez vous reportez à notre politique de confidentialité.

Sur les mêmes thématiques :

Voir tous les articles sur contrats informatiques →
Parlez-nous de votre besoin

Les données ci-dessus sont recueillies par le cabinet HASHTAG AVOCATS afin de traiter et suivre votre demande de contact. Pour en savoir plus sur la gestion de vos données à caractère personnel et pour exercer vos droits, vous pouvez vous reportez à notre politique de confidentialité.