Depuis l’émergence du modèle popularisé par Salesforce en 1999, le SaaS, s’impose massivement dans le domaine des applications. Accessibles via un navigateur, en général sur abonnement, sans coût initial d’acquisition, sans installation et sans maintenance, les logiciels en mode SaaS sont de plus en plus souvent activés par les équipes métiers, mettant la DSI face au fait accompli.
Pour le dire vite, le modèle SaaS permet donc aux DSI de « sous traiter » la complexité technique aux éditeurs. En contrepartie, les conditions d’utilisation figurant dans le contrat liant les deux parties doivent faire l’objet de toutes les attentions.
S’abonner à un logiciel « as a service » exige donc le plus souvent de souscrire plusieurs points du contrat « standard ». Notamment sur le sujet de la réversibilité.
Florence Gaullier, avocate associée au sein du cabinet Vercken & Gaullier, et Loïc Caroli, consultant et expert auprès du Clusif, détaillent les points clés à surveiller avant de signer un contrat SaaS.
Extraits de leurs interventions dans le cadre de la Silicon Week.
> Contrat standard vs contrat sur mesure
« Il faut regarder comment le prix est composé – par utilisateur, par fonctionnalité, par capacité – , veiller aux coûts cachés – assistance premium, formations payantes – et cadrer les augmentations tarifaires. Il faut aussi négocier le fait qu’on puisse avoir moins d’utilisateurs » – Florence Gaullier
« A minima, s’assure de la définition des services et des fonctionnalités qu’on achète. Ça a l’air tout bête, mais souvent, on se rend compte qu’on n’est pas capable de rattacher le contrat à des services. » – Florence Gaullier
« Ne pas oublier que le SaaS est un service qui sort de la DSI, qui peut être souscrit par des directions métiers. Le risque de shadow IT est prégnant ». – Loïc Caroli
> Localisation des données
« Les conditions standard sont souvent insuffisantes. Depuis l’arrêt Schrems II, il faut des mesures supplémentaires en cas de transferts hors de l’espace économique européen par le biais d’accès externes.» – Florence Gaullier
« L’hébergement physique en France, c’est psychologique. L’important, c’est la nationalité du sous-traitant. La localisation physique en zone européenne suffit. En Allemagne, par exemple, le niveau de protection des données est plus élevé qu’en France. » – Loïc Caroli
« Mettre en place des solutions d’architecture qui vont vous permettre d’avoir la main sur les données et les identités » : réplication sur vos datacenters ou chez un autre CSP, mise en place d’un MDM, conservation de l’annuaire en interne… » – Loïc Caroli
> Réversibilité
« Le contrat SaaS, c’est le moment où l’on a le droit de perdre du temps et de penser à tout ce qui va se passer dans la vie du contrat. La sortie en fait partie. » – Loïc Caroli
« Vous pourriez avoir des fournisseurs qui ne s’engagent pas à conserver vos données pour 30, 40 ou 90 jours après la fin du service, […] à vous les rendre dans un format lisible par vos équipes, […] dans des délais raisonnables avec un taux de transfert raisonnable… » –Loïc Caroli
« Mettez en place des solutions d’architecture qui vont vous permettre d’avoir la main sur les données et les identités : réplication sur vos datacenters ou chez un autre CSP, mise en place d’un MDM, conservation de l’annuaire en interne …» – Loïc Caroli
