Plateformes SaaS
& d'abonnement

La plupart des transactions IA-sensibles se divisent en un accord SaaS plus un avenant IA couvrant restrictions d'entraînement, propriété des sorties et indemnisation IA. Le SaaS régit abonnement, paiement, disponibilité et traitement standard; l'avenant régit la portée des données d'entraînement, la propriété des sorties, les obligations de mise à jour du modèle, l'indemnisation pour réclamations sur les sorties et les limites d'usage acceptable. Que les clauses IA figurent dans le MSA ou en avenant est une question de processus; le fond reste ce que dit chaque clause. SGL rédige les deux couches; la pile de gouvernance IA vit sur notre carrefour Entreprises d'IA & d'IA générative.

Le standard du marché SaaS plafonne la responsabilité à 12 mois de frais, avec des super-plafonds de 2× à 3× pour PI, confidentialité et violation de données. Les clients d'entreprise poussent souvent pour une responsabilité illimitée dans des catégories étroites : contrefaçon de PI, violation de données, négligence grave et manquement à la confidentialité. Des super-plafonds de 2× ou 3× les frais sont des compromis courants. Une responsabilité illimitée pour tout est rarement acceptée. Le plafond final résulte d'une négociation, pas d'une valeur par défaut.

99,9 % de disponibilité est le standard du marché SaaS, soit environ 8,7 heures de panne par an. Les clients d'entreprise poussent à 99,95 % ou plus, avec des temps de réponse plus serrés et des crédits significatifs. Le SLA devrait préciser ce qui compte comme panne, exclure la maintenance planifiée, définir la méthode de mesure, plafonner les crédits à un mois de frais et faire des crédits le recours exclusif.

La plupart des SaaS utilisent les deux : des conditions par clic pour les utilisateurs en libre-service, et un MSA signé pour les clients d'entreprise qui arrivent avec leur propre document. Le modèle hybride permet aux ventes d'avancer vite sur les petits comptes et de répondre aux achats quand la taille justifie la négociation. Référencez chaque document dans l'autre pour clarté. L'acceptation par clic doit être affirmative (case à cocher, pas un « en utilisant vous acceptez »), horodatée et suivie par version.

Les clients possèdent leurs données; le fournisseur reçoit une licence limitée à la prestation du service. Précisez la frontière dans le contrat. Le fournisseur peut utiliser les données pour exploiter le service, soutenir le client et (si autorisé) bâtir des analyses agrégées ou anonymisées. Tout le reste (informations dérivées, données d'entraînement, sous-licence) exige un octroi explicite. Le Code civil de Californie § 1798.140 régit la frontière du « fournisseur de service » sous CCPA et CPRA. À la résiliation, le contrat doit préciser restitution, suppression et délais.

Un MSA, un SLA, un ATD, une annexe de sécurité et un manuel de négociation pour le papier d'entreprise entrant. La pile en cinq pièces permet aux ventes de répondre aux achats en heures plutôt qu'en semaines. Des positions préétablies sur les clauses à fort levier (plafond de responsabilité, indemnisation, propriété des données, droits d'audit, délais de notification de violation) économisent des semaines par transaction. Le SLA référence l'annexe de sécurité; le MSA référence l'ATD; le manuel précise quoi concéder et quoi tenir.

Oui, si votre SaaS traite les renseignements personnels d'un résident du Québec, la Loi 25 du Québec s'applique peu importe le siège. La Loi 25 exige la désignation nominative d'un responsable de la protection des renseignements personnels, un consentement distinct par finalité, des évaluations d'impact avant les flux transfrontaliers, la notification des violations à la Commission d'accès à l'information, et un programme de confidentialité documenté. Le module Québec s'attache typiquement comme avenant ou annexe d'ATD au contrat client. La LPRPDE et la Loi 25 se chevauchent sur la plupart des flux SaaS; le contrat client cartographie les deux.

Un avocat SaaS gère la couche contractuelle (annexes de sécurité, délais de notification, droits d'audit, langage du MSA); l'audit SOC 2 lui-même est le travail d'un cabinet de CPA. Les deux couches s'imbriquent. L'audit produit le rapport SOC 2; le contrat engage l'entreprise SaaS aux contrôles que le rapport décrit. Les achats lisent d'abord le contrat, puis demandent le rapport.

La Loi californienne sur le renouvellement automatique (Cal. Bus. & Prof. Code § 17600) impose des exigences précises de consentement, divulgation et résiliation, plus strictes pour les paliers grand public. Les divulgations doivent être claires et en évidence, le consommateur doit donner un consentement affirmatif, le mécanisme de résiliation doit être en ligne et accessible, et les fenêtres d'avis sont réglementées. Pour le SaaS B2B, les règles s'appliquent avec une portée réduite, mais des actions visent les entreprises qui ont mal classifié leurs paliers. Les changements de prix au renouvellement nécessitent leur propre voie de divulgation.

Les acheteurs vérifient la chaîne de propriété de la PI, la conformité open source, la transférabilité des contrats clients, les clauses de changement de contrôle et la cohérence des contrats de revenu. Les cessions de PI des fondateurs et entrepreneurs doivent utiliser le présent « hereby assigns » pour transférer la propriété sous le 17 U.S.C. § 201; « shall assign » n'est qu'une promesse. Le code open source sous licences copyleft (Affero GPL surtout) peut forcer la divulgation du travail propriétaire. Les contrats clients sans clause de changement de contrôle peuvent exiger une renégociation par l'acheteur.

Un ATD répartit la responsabilité du traitement des données personnelles entre une entreprise SaaS (sous-traitant) et son client (responsable du traitement), ou avec un sous-traitant ultérieur. L'article 28 du RGPD l'exige dès que le traitement se fait au nom d'un responsable de l'UE. CCPA et CPRA exigent des termes équivalents de « fournisseur de service » ou « contractant » pour les renseignements personnels californiens. La Loi 25 ajoute un module Québec. La plupart des achats d'entreprise exigent un ATD client avant la conclusion.

Examinez d'abord six clauses : plafond de responsabilité, portée de l'indemnisation, propriété des données, droits d'audit, délais de notification de violation et toute cession de PI au client. Pour chacune, attendez-vous à : 12 mois de frais comme plafond avec super-plafonds pour PI et violation de données, indemnisation mutuelle, données client appartenant au client avec licence de service au fournisseur, droits d'audit limités en fréquence, notification en heures et non en jours, et aucun transfert de PI au client. Ces six clauses portent l'essentiel de l'économie. Les pages restantes sont des passages standards que la révision peut laisser tels quels.