Le SaaS, ou Software As A Service est un service informatique de Cloud computing qui permet à l’utilisateur d’accéder à un logiciel installé sur un serveur distant via le réseau Internet. L’entreprise qui souscrit un abonnement SaaS passe d’un logiciel installé sur son poste de travail à une application accessible via Internet.
Quelles promesses pour l’entreprise ?
Les avantages pour les entreprises sont nombreux : gain de flexibilité, rapidité de développement des applications et des projets informatiques, augmentation de la productivité des serveurs et centres de données et réduction de coûts.
Sur ce dernier point notamment, le mode SaaS permet une facturation par abonnement ou en fonction de la consommation, selon les métriques définies par le contrat. Ce modèle est bien plus souple qu’un achat de licence dans le sens où il permet à l’entreprise d’échelonner les paiements, un avantage indéniable compte tenu du coût des licences et de maintenance associée pour une entreprise.
De nouvelles problématiques juridiques
Mais le développement de service d’utilisation de logiciel en mode SaaS a engendré un certain nombre de nouvelles problématiques juridiques et l’entrée en vigueur du Règlement européen sur la protection des données personnelles en mai 2018 ne facilite pas les choses pour les entreprises qui souhaitent souscrire à ce type de services.
Les entreprises clientes se voient investies de nouvelles responsabilités et devront de ce fait prêter plus d’attention aux activités de leurs fournisseurs. Aussi devront-elles être particulièrement vigilantes dans le choix du fournisseur, qui devra présenter un niveau suffisant de garanties.
Par ailleurs le règlement impose au responsable de traitement de mettre en oeuvre des «mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Dans les contrats Cloud, particulièrement en mode SaaS, il est très courant que l’hébergement des données soit assuré par un tiers au contrat, un sous-traitant. Il est donc primordial pour l’entreprise client du service de s’assurer que son prestataire, ou à défaut ses sous-traitants, satisfassent à cette exigence.
L’introduction de la notion de “Privacy by Design” implique que les produits doivent être conçus dès l’origine en vue d’assurer la protection des données. L’entreprise devra être à même d’en justifier pour se conformer aux exigences de protection des données personnelles.
Le RPGD impose également aux entreprises de mettre en place un système de remontée des failles de sécurité. En cas de faille révélée chez un sous-traitant, il doit en informer le responsable de traitement qui dispose à son tour de 72h pour en informer le régulateur et les consommateurs concernés. Dans le cadre du contrat Cloud, il faudra ainsi prévoir les modalités d’alerte entre toutes les parties prenantes et être particulièrement vigilant à la sous-traitance.
Le passage au mode SaaS nécessite donc d’adapter la pratique contractuelle et de prêter une attention particulière à certaines clauses du contrat. La principale difficulté résidant dans le fait que la plupart des fournisseurs de solutions Cloud, qu’il s’agisse des applications métier ou des hébergeurs, sont des géants américains avec lesquels il est difficile de négocier.

A propos de Claire COLONNA