La Douille, c’est la newsletter de Volkane qui raconte le droit au monde des affaires, un dimanche sur deux. Pour la recevoir, abonnez-vous ici.

Clause limitative de responsabilité SaaS : quand un plafond bas se retourne contre l’éditeur

Clodomir dirige un SaaS de gestion d’exploitation installé chez quarante grands comptes industriels. La redevance annuelle moyenne par client se situe entre 60 000 et 120 000 euros.

Ses conditions générales, Clodomir les connaît par cœur. Ce n’est pas une façon de parler : quand il les a faites rédiger par un avocat, il faisait encore de la vente. Il avait l’habitude de négocier en direct ces conditions avec les nouveaux clients.

Il y a 5 ans, il avait débloqué un budget pour les faire revoir après avoir connu son premier contentieux avec un client.

Le contentieux c’était bien terminé et négocié à l’amiable. Pourtant il avait imaginé le pire quand son avocat de l’époque lui avait expliqué qu’il n’y avait aucune clause pour limiter sa responsabilité et qu’il pouvait être condamné à un montant illimité.

Le nouveau jeu de conditions générales contient donc une clause de responsabilité « de compétition » comme aime le rappeler Clodomir : la responsabilité de l’éditeur est limitée à un an de redevance, et elle exclut de toute indemnisation les dommages indirects, parmi lesquels la perte de données, la perte d’exploitation, la perte de marge, la perte de bénéfices, et les préjudices financiers indirects.

Depuis cette clause, Clodomir n’a plus jamais fait son cauchemar d’un huissier qui vient toquer à sa porte et prendre tout ce qu’il y a chez lui.

Vous vous en doutez, si Clodomir est dans la douille aujourd’hui, c’est que son cauchemar va revenir.

Mais comment ?

Perte de données après restauration d’une sauvegarde SaaS : un mois de désorganisation

Le comment, c’est l’un de ses clients. Pas le plus gros client, sa redevance annuelle est à 80 000 euros.

Sur ce client, il y eu un petit problème avec le serveur. Résultat, la solution était quasiment inutilisable sur trois jours. Au début les équipes techniques ont essayé de réparer mais cela prenait trop de temps donc elles ont décidé de restaurer la sauvegarde dans sa dernière version.

Normalement, la dernière version faisait perdre 48h de mouvement de stocks et de commandes clients mais c’était moins pire que de continuer encore des jours sans solution fonctionnelle.

Pour l’équipe technique de Clodomir, c’était la meilleure décision.

Pour la cliente, cela a été le début d’un mois sombre. Chaque jour, les équipes opérationnelles faisaient de nouvelles découvertes. C’était indéniable, la restauration de la dernière sauvegarde était pleine d’erreurs. Il manquait des éléments, certains éléments étaient faux. Il a fallu 1 mois de reconstitution manuelle pour remettre tout à plat.

Pendant ce mois, moult retards de livraison de leurs propres clients car la chaîne d’alerte habituelle n’a pas fonctionné.

Mise en demeure de 620 000 euros et application du plafond en première instance

Entre la désorganisation et les potentielles pénalités contractuelles du fait de ces retards, l’audit financier interne a fixé le montant du préjudice à 620 000 euros.

Cet argumentaire était particulièrement bien détaillé dans la lettre de mise en demeure adressée à Clodomir pour demander le remboursement de cette somme.

Clodomir s’en souvient parfaitement, il allait rentrer au cinéma avec ses enfants lorsqu’il a reçu l’email qui contenait la lettre de mise en demeure. Il a eu un petit rictus interne en pensant à sa clause « de compétition ». Au maximum, cela lui couterait 80.000 euros. Il a éteint son téléphone et profité de son moment en famille.

Mais sa cliente ne l’a pas entendu ainsi. Après deux échanges de courriers d’avocats, elle saisit le tribunal de commerce.

Le tribunal fait jouer la clause, applique le plafond et condamne Clodomir à 80.000 euros. Clodomir s’exécute, pour lui on passe à autre chose.

Appel et déplafonnement : la clause limitative jugée non écrite

Sauf que. Le client fait appel.

La cour reprend l’article sur la responsabilité. Elle prend acte du plafond à 12 mois de redevance. Elle prend acte de l’exclusion des dommages indirects, dont la perte de données.

Et elle écrit, en substance : un plafond limité au montant du contrat n’est pas dérisoire en soi, mais associé à une exclusion qui couvre la perte de données, la perte d’exploitation, la perte de marge, la perte de bénéfices, les préjudices financiers et l’image de marque, il caractérise une volonté du fournisseur d’indemniser de façon dérisoire le client en cas de manquement grave.

Conclusion : la clause entière est réputée non écrite. Elle condamne à réparer à l’intégralité du préjudice.

Clodomir est condamné à verser 480 000 euros plus intérêts et frais.

---

Comment rédiger une clause limitative de responsabilité SaaS valable

Le principe en deux lignes : une clause limitative de responsabilité est valable, sauf si elle contredit la portée de l’obligation essentielle souscrite par le débiteur ou si elle vide l’engagement de sa substance. La jurisprudence l’appelle encore « la règle Chronopost », en référence à l’arrêt fondateur de 1996.

Pourquoi un plafond égal au montant du contrat SaaS est devenu risqué

Premier réflexe à abandonner : croire qu’un plafond égal au montant du contrat est toujours une bonne idée.

Les clauses qui prévoient un plafond égal au montant du contrat sont de plus en plus invalidées par les juridictions.

Dans certains cas, c’est le plafond en lui-même qui pose problème, mais plus fréquemment, c’est son cumul avec une liste d’exclusions large qui le rend problématique.

C’est une question de bon sens : si vous réduisez l’indemnisation à zéro pour le client qui subit un vrai sinistre, alors le juge risque de considérer que vous indemnisez de façon dérisoire un manquement grave. Dans ce cas, la sanction est que la clause peut être totalement écartée et donc conduire à un déplafonnement total.

Perte de données SaaS : pourquoi l’exclure expose à la nullité de la clause

Dans un contrat SaaS, l’objet même du contrat est de traiter, stocker et restituer des données, la perte de données est le préjudice direct par excellence. Le fait de l’exclure totalement revient à prévoir une exclusion de responsabilité totale sur une obligation essentielle.

Lorsque vous rédigez vos clauses, il est préférable de sortir cette partie de la liste des exclusions ou de la traiter avec un sous-plafond dédié. La même logique s’applique sur la conformité au RGPD et aux conséquences d’un violation de données personnelles.

Bonnes pratiques de rédaction d’une clause limitative pour SaaS

Alors comment bien rédiger une clause ?

• Plafond plancher : visez 100 à 200 % de la redevance annuelle pour un contrat SaaS B2B standard. En deçà de 100 %, vous êtes en zone d’indemnisation « dérisoire ».
• Ne laissez pas la perte de données dans la liste des préjudices exclus. Soit vous la traitez comme un dommage direct sous le plafond, soit vous la sortez vers un sous-plafond dédié plus élevé que le plafond général. Même logique pour les violations de données personnelles.
• Vérifiez ensuite la chaîne contractuelle en amont : sauvegardes, hébergement, sous-traitants techniques. Une clause limitative bien rédigée côté client ne sert à rien si votre contrat avec votre hébergeur ou votre sous-traitant ne reflète pas la même protection.

Ce qui vous protège dans les contrats, ce n’est pas une clause limitative avec un plafond très bas, mais une clause bien calibrée avec un niveau cohérent entre le risque réel et votre activité.

C’est pour ça qu’on ne le répètera jamais assez : un bon contrat, c’est un contrat qui a été rédigé en particulier pour votre business. Copier la clause du voisin ou demander à ChatGPT, cela risque de ne pas suffire à vous protéger le moment venu.

---

FAQ sur la clause limitative de responsabilité SaaS

---

Toute ressemblance avec des faits et des personnages existants ou ayant existé serait purement fortuite et ne pourrait être que le fruit d’une pure coïncidence.