Data Act & SaaS : sécuriser son modèle économique

Jusqu’à récemment, la gestion contractuelle des solutions numériques relevait principalement de la négociation entre les parties, sous le cadre général du droit des contrats et du RGPD.

Le Data Act modifie ce cadre.
Certains mécanismes qui relevaient jusqu’ici de la liberté contractuelle — réversibilité, migration, accès aux données, interopérabilité — sont désormais encadrés par le règlement.

Le texte vise les fournisseurs de services de traitement de données, incluant les éditeurs SaaS et certains acteurs du cloud (IaaS, PaaS).

Il impose notamment :

• un droit effectif d’accès et d’utilisation des données générées par le client ;
• la possibilité, à la demande du client, de transmettre ces données à un tiers ;
• l’interdiction d’entraver le changement de fournisseur (« switching ») ;
• un encadrement des frais liés à la migration ;
• des obligations d’interopérabilité ;
• un cadre strict en matière de demandes d’accès émanant d’autorités étrangères.

Ces obligations ne sont pas théoriques : elles ont un impact direct sur la rédaction des CGV et sur la structuration du modèle contractuel.

Le changement de fournisseur ne peut plus être contractuellement ou techniquement entravé.

Concrètement :

• les obstacles techniques injustifiés doivent être supprimés ;
• les données doivent être mises à disposition dans un format structuré et exploitable ;
• les frais liés au switching sont strictement encadrés et appelés à disparaître progressivement ;
• la migration ne peut plus être structurée comme une ligne de facturation standard : elle doit tendre vers la gratuité, et ne peut être monétisée que sur des prestations réellement distinctes (hors transfert standard).

Le Data Act organise une trajectoire vers la gratuité du changement de fournisseur.
Les frais ne peuvent être maintenus que de manière transitoire et doivent être justifiés, proportionnés et non dissuasifs.

Pour un éditeur SaaS, le sujet dépasse la simple clause de réversibilité.

Le switching mal encadré peut fragiliser le modèle d’abonnement lui-même :
si la sortie devient techniquement simple et économiquement neutre, sans articulation claire avec les engagements contractuels, la visibilité financière peut être affectée.

Le Data Act ne supprime pas les engagements de durée ni les indemnités de résiliation justifiées.
En revanche, il empêche que la difficulté technique ou le coût de migration constituent un mécanisme implicite de rétention.

Autrement dit : la fidélité ne peut plus reposer sur l’inertie.

Pour une analyse détaillée des obligations de migration, voir notre article : Switching SaaS : ce que change réellement le Data Act.

Le Data Act introduit une obligation d’interopérabilité accrue pour les services cloud.

Les fournisseurs doivent notamment :

• formaliser des offres techniques d’interopérabilité dans les contrats ;
• fournir une information claire sur les interfaces et standards utilisés ;
• faciliter l’intégration avec d’autres environnements.

À la demande du client, les données générées dans le cadre de l’utilisation du service doivent pouvoir être transmises à un tiers désigné par ce client, dans un format structuré et exploitable.

Concrètement, cela signifie que le fournisseur peut être tenu :

• d’extraire les données pertinentes ;
• de les organiser dans un format techniquement utilisable par un autre prestataire ;
• de permettre leur transmission vers un nouvel environnement.

Ce droit dépasse la simple portabilité prévue par le RGPD.

Il ne concerne pas uniquement les données à caractère personnel, mais l’ensemble des données générées ou co-générées dans le cadre de l’utilisation du service.

Il implique donc une analyse précise du périmètre des données concernées, ainsi qu’une anticipation technique.

Surtout, il nécessite un encadrement contractuel rigoureux afin de sécuriser le prestataire SaaS : conditions de la demande, responsabilités respectives, limites techniques, sécurité du transfert et formalisation d’un accord de partage de données adapté.

À défaut, le risque n’est pas seulement opérationnel : il peut devenir contractuel et contentieux.

Les articles 27 à 32 du Data Act encadrent strictement les demandes d’accès émanant d’autorités de pays tiers.

Les fournisseurs doivent :

• analyser la légalité de la demande ;
• vérifier l’existence d’un accord international pertinent ;
• documenter les demandes reçues et les réponses apportées ;
• préserver la confidentialité et la traçabilité.

Ce point suppose la mise en place d’une procédure interne formalisée.

Ce sujet est particulièrement structurant pour les fournisseurs :

• soumis, directement ou indirectement, à une législation d’un pays tiers ;
• ou recourant à des prestataires susceptibles de recevoir des demandes d’accès extraterritoriales.

Dans ces situations, une demande d’autorité étrangère peut créer un conflit entre le droit du pays tiers et les obligations issues du droit de l’Union.

Ce point est détaillé dans notre article : Autorités étrangères et Data Act : le point le plus sous-estimé pour les éditeurs SaaS.

En France, le contrôle des obligations relatives au switching et aux services de traitement de données relève de l’ARCEP.

Concrètement, un client estimant que les conditions de migration sont excessives ou que le changement de fournisseur est entravé peut saisir l’autorité.

L’ARCEP dispose de pouvoirs d’enquête et peut examiner :

• les clauses contractuelles ;
• les modalités tarifaires ;
• les pratiques effectivement mises en œuvre.

Les sanctions prévues peuvent atteindre jusqu’à un pourcentage significatif du chiffre d’affaires mondial, selon les régimes nationaux d’application, ce qui confère au contrôle un caractère dissuasif.

Le risque n’est donc pas uniquement contractuel : un différend commercial peut devenir un sujet de régulation.

Le rôle du régulateur est analysé ici : ARCEP et Data Act : comprendre le risque de contrôle pour les éditeurs SaaS.

Le Data Act ne se traite pas par une modification isolée d’une clause de réversibilité.

La conformité suppose une cohérence globale entre :

• CGV et contrats ;
• information précontractuelle ;
• documentation technique ;
• modèle économique ;
• procédures internes.

Une adaptation approximative ou incomplète peut fragiliser l’ensemble du dispositif contractuel en cas de contentieux ou de contrôle.

Pour une synthèse opérationnelle destinée aux dirigeants : Data Act : ce que tout dirigeant SaaS doit vérifier.

Pour les dirigeants d’éditeurs SaaS, l’enjeu est stratégique :

• préserver l’attractivité commerciale ;
• anticiper les demandes clients ;
• éviter les blocages contractuels ;
• maîtriser le risque réglementaire ;
• sécuriser la valorisation de l’entreprise.

Le Data Act ne remet pas en cause le modèle SaaS.
Il en encadre certaines pratiques et impose une structuration plus rigoureuse.

Anticiper ces évolutions permet de transformer une contrainte réglementaire en levier de crédibilité et de différenciation.

Withlaw accompagne les éditeurs SaaS et acteurs du cloud dans :

• l’identification des services concernés et la qualification des obligations applicables au regard du Data Act ;
• la rédaction ou l’adaptation d’une annexe contractuelle dédiée (switching, frais de migration, réversibilité, interopérabilité) ;
• la sécurisation des mécanismes d’engagement et d’indemnité de résiliation afin de préserver l’équilibre économique du modèle d’abonnement ;
• la structuration de l’information précontractuelle requise par le règlement ;
• la mise en place d’une procédure interne relative aux demandes d’accès d’autorités étrangères (analyse, critères de réponse, traçabilité) ;
• l’articulation contractuelle avec les sous-traitants et fournisseurs d’infrastructure.

L’objectif : assurer la conformité tout en maîtrisant l’impact économique et contractuel du règlement sur votre modèle.

En savoir plus