La fin d'un contrat SaaS soulève une question que les entreprises négligent trop souvent au moment de la signature : que deviennent leurs données lorsqu'elles résilient ou que l'éditeur cesse son activité ?

En l'absence de clause de réversibilité adaptée, le client risque de se retrouver dans une situation de dépendance forcée — le vendor lock-in — privé de l'accès à des données métier accumulées sur plusieurs années, sans recours contractuel précis pour en exiger la restitution. Ce risque, longtemps sous-estimé, est aujourd'hui au cœur d'un cadre légal en pleine mutation.

Qu'est-ce que la clause de réversibilité ?

La clause de réversibilité — parfois désignée clause de portabilité ou clause de fin de contrat — est le mécanisme contractuel qui encadre les conditions dans lesquelles le client récupère ses données à l'issue de la relation contractuelle.

Elle est distincte du droit à la portabilité des données personnelles prévu à l'article 20 du RGPD, lequel ne bénéficie qu'aux personnes physiques agissant à titre personnel. En contexte B2B, c'est la clause contractuelle qui constitue la principale protection du client — raison pour laquelle sa rédaction et sa négociation revêtent une importance stratégique.

Que doit-elle impérativement prévoir ?

Le format d'export constitue le premier enjeu. Les données doivent être restituées dans un format ouvert, structuré et lisible par machine — CSV, JSON, XML ou équivalent — permettant leur réimportation dans un autre système sans transformation coûteuse. Un format propriétaire, illisible hors de la solution SaaS de l'éditeur, ne constitue pas une restitution satisfaisante et peut caractériser une rétention abusive.

Le délai de restitution doit être clairement stipulé. Un délai de trente à quatre-vingt-dix jours après la date effective de résiliation est courant en pratique, mais doit être adapté au volume de données concernées et à la criticité de l'activité du client.

Le niveau d'assistance technique fourni par l'éditeur doit également être précisé : simple mise à disposition d'un fichier d'export, ou accompagnement actif à la migration ? Cette distinction a un impact opérationnel et financier considérable que le contrat doit trancher clairement.

Enfin, l'obligation de destruction certifiée des copies résiduelles dans un délai déterminé doit être expressément prévue. À défaut, les données du client peuvent demeurer chez l'éditeur ou ses sous-traitants cloud après la fin du contrat, sans possibilité d'en exiger la suppression.

Quel cadre légal s'applique ?

Le RGPD impose à l'éditeur SaaS agissant en qualité de sous-traitant, au sens de l'article 28 du règlement [1], de restituer ou de détruire l'ensemble des données personnelles traitées pour le compte de son client à l'issue du contrat. Cette obligation est d'ordre public : elle ne peut être écartée contractuellement et doit figurer dans le Data Processing Agreement conclu entre les parties.

Le cadre a été considérablement renforcé par le Règlement européen sur les données — dit Data Act (Règlement UE 2023/2854) [2] — entré en application le 12 septembre 2025 pour les contrats conclus à compter de cette date. Ce texte impose aux fournisseurs de services SaaS de lever tout obstacle contractuel, technique ou organisationnel au changement de fournisseur : initiation de la réversibilité dans un délai de deux mois suivant la demande du client, finalisation dans les trente jours suivants, mise à disposition gratuite des interfaces et informations nécessaires à la portabilité, et maintien de la continuité du service pendant la période de transition.

En droit français, la loi SREN du 21 mai 2024 [3] avait anticipé plusieurs de ces obligations, notamment en plafonnant les frais de transfert de données aux coûts réellement supportés par le fournisseur. À compter du 12 janvier 2027, le Data Act supprimera définitivement tout frais de changement de fournisseur [4].

❌ Un éditeur qui conditionne la restitution des données au paiement de frais non prévus contractuellement, ou qui oppose des obstacles techniques au transfert, s'expose désormais à des sanctions de l'ARCEP — autorité compétente en France pour le contrôle du Data Act — ainsi qu'à une action en responsabilité contractuelle.

➡️ La protection des données en fin de contrat SaaS ne s'improvise pas. Elle se négocie dès la signature, par la rédaction soigneuse d'une clause de réversibilité complète, et s'appuie sur un cadre légal qui protège désormais efficacement le client — à condition que ce dernier en connaisse l'existence et sache s'en prévaloir.

*           *

*

La réversibilité des données est aujourd'hui, avec le SLA et le DPA, l'un des trois piliers d'un contrat SaaS équilibré. Sa négociation en amont est la meilleure garantie contre le risque de perte ou de rétention abusive des données à la fin de la relation contractuelle.

[1] Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), art. 28, EUR-Lex

[2] Règlement (UE) 2023/2854 du 13 décembre 2023 (Data Act), art. 23, EUR-Lex

[3] Loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique (loi SREN), art. 27, Légifrance

[4] CNIL, « Le règlement sur les données (Data Act) : un nouveau cadre européen pour le partage et l'utilisation des données »