Cabinet Kohen Avocats · Paris

Maître Reda KOHEN intervient en droit immobilier, droit des sociétés et droit des affaires à Paris. Première analyse offerte, réponse personnelle sous 24 heures.

Appeler maintenant → Envoyer mes pièces

100 % confidentiel · Secret professionnel · Sans engagement

Barreau de Paris Immobilier, sociétés, affaires Fiche CNB avocat.fr
Maître Reda KOHEN, avocat au Barreau de Paris
Maître Reda KOHEN
Avocat au Barreau de Paris

Contrat SaaS : comment récupérer vos données si le prestataire bloque la résiliation ?

Vous voulez quitter un logiciel SaaS, changer de prestataire, internaliser un outil ou récupérer votre base clients, mais l’éditeur répond que l’export n’est pas prévu, que le contrat court encore, que les frais de sortie sont élevés ou que les données seront supprimées à la fin de l’abonnement.

Depuis l’entrée en application du Data Act européen, la question de la sortie des services cloud et des logiciels hébergés n’est plus seulement un sujet technique. Elle devient un sujet juridique de premier plan pour les entreprises qui dépendent d’un CRM, d’un ERP, d’un logiciel métier, d’une plateforme e-commerce, d’un outil de facturation, d’un hébergement cloud ou d’un prestataire d’infogérance.

Dans la pratique, le vrai risque n’est pas seulement de payer quelques mois d’abonnement en trop. Le risque est de perdre l’accès à des données utiles à l’activité : clients, commandes, factures, tickets, dossiers, documents comptables, historiques de connexion, contenus, paramétrages, fichiers exportables, ou éléments nécessaires à une migration.

Lorsqu’un prestataire SaaS bloque la résiliation ou rend la récupération des données difficile, il faut agir vite, mais proprement. La première erreur consiste à résilier sans organiser la sortie. La deuxième consiste à menacer sans avoir vérifié le contrat, les preuves et les données réellement détenues par le prestataire.

Le Data Act change le rapport de force sur les contrats SaaS

Le règlement européen sur les données, appelé Data Act, est le règlement (UE) 2023/2854. Il vise notamment à faciliter l’accès aux données, leur utilisation et le changement de prestataire pour certains services numériques.

Pour une entreprise cliente d’un service SaaS ou cloud, l’idée centrale est simple : un prestataire ne doit pas organiser un verrouillage contractuel ou technique qui empêche de changer de fournisseur, de récupérer les données ou de réinternaliser le service lorsque le cadre légal s’applique.

Cela ne signifie pas que tous les contrats SaaS peuvent être rompus n’importe comment, ni que toute clause de durée devient inutile. Mais cela oblige à regarder les clauses de résiliation, de portabilité, de réversibilité, de frais de sortie, de suppression des données et d’assistance à la migration avec beaucoup plus d’attention.

Le Data Act est particulièrement important pour les contrats conclus ou renouvelés après son entrée en application, mais il doit aussi servir de grille de lecture dans les discussions avec les prestataires qui continuent à appliquer des clauses de sortie très anciennes.

Quelles données pouvez-vous réclamer à la fin du contrat ?

La question doit être posée très concrètement. Dans un litige SaaS, « récupérer les données » ne veut pas toujours dire la même chose.

Il peut s’agir :

  • des données brutes saisies ou importées par l’entreprise ;
  • des données générées par l’utilisation du logiciel ;
  • des fichiers joints, documents, factures, tickets, devis, rapports ou exports ;
  • des historiques nécessaires à la traçabilité ;
  • des paramétrages utiles pour redémarrer chez un autre prestataire ;
  • des journaux ou éléments de preuve en cas de litige ;
  • des données personnelles traitées pour le compte de l’entreprise cliente.

Le contrat doit normalement préciser ce qui est restitué, dans quel délai, dans quel format, avec quel niveau d’assistance et à quel coût. Si le contrat se contente d’une phrase vague, la difficulté n’est pas insurmontable, mais elle impose de formaliser rapidement une demande précise.

Il faut éviter les demandes trop générales du type « rendez-nous toutes nos données ». Une demande efficace identifie les catégories de données, le format souhaité, la période concernée, le canal d’export, le délai, les accès provisoires à maintenir et les personnes autorisées à recevoir les fichiers.

Que vérifier dans le contrat SaaS avant de résilier ?

Avant d’envoyer une résiliation, il faut relire les clauses dans un ordre logique.

La première clause est la durée. Le contrat est-il mensuel, annuel, pluriannuel ? Prévoit-il une reconduction tacite ? Existe-t-il une fenêtre de dénonciation ? Une résiliation anticipée est-elle possible en cas de faute, de hausse de prix, d’indisponibilité, de modification unilatérale des conditions ou de non-respect des niveaux de service ?

La deuxième clause est la réversibilité. Elle doit dire comment le prestataire accompagne la sortie : export, documentation, assistance technique, accès temporaire, suppression différée, remise de sauvegardes, transfert à un nouveau prestataire, format exploitable.

La troisième clause porte sur les frais. Certains prestataires facturent l’export, l’assistance ou la migration. Ces frais doivent être vérifiés : sont-ils prévus, proportionnés, justifiés, ou utilisés pour dissuader la sortie ?

La quatrième clause concerne la suppression des données. Un contrat peut prévoir une suppression après un certain délai. Il faut donc demander l’export avant l’échéance critique, puis conserver la preuve de la demande.

La cinquième clause concerne les données personnelles. Si le SaaS traite des données personnelles pour votre entreprise, il faut vérifier le contrat de sous-traitance RGPD : instructions documentées, sécurité, assistance, sort des données à la fin de la prestation, restitution ou destruction.

Le prestataire peut-il bloquer l’accès tant que vous contestez une facture ?

Tout dépend du contrat et de la situation. Un prestataire peut parfois suspendre un service en cas d’impayé, mais il ne peut pas toujours utiliser la suspension comme moyen de pression disproportionné, surtout si elle paralyse l’activité, détruit l’accès aux données ou empêche toute sortie organisée.

En droit commun des contrats, les articles 1103 et 1104 du code civil rappellent que le contrat tient lieu de loi aux parties et doit être exécuté de bonne foi. L’article 1219 permet à une partie de refuser d’exécuter son obligation si l’autre n’exécute pas la sienne et si cette inexécution est suffisamment grave. L’article 1231-1 permet de demander réparation en cas d’inexécution ou de retard dans l’exécution.

Ces textes ne donnent pas une réponse automatique. Ils obligent à vérifier les faits : y a-t-il vraiment un impayé ? La facture est-elle justifiée ? Le client a-t-il contesté par écrit ? Le prestataire a-t-il respecté la procédure de relance ? L’interruption est-elle proportionnée ? Les données restent-elles récupérables ?

Dans un dossier sensible, l’objectif n’est pas de gagner un débat abstrait sur la résiliation. L’objectif est d’obtenir rapidement les fichiers utiles, de préserver la preuve et d’éviter une perte d’exploitation.

La jurisprudence récente insiste sur la preuve et le calendrier de réversibilité

Une décision de la cour d’appel de Pau du 27 mai 2025 illustre l’importance du calendrier et de la preuve dans les contrats informatiques. Le contrat d’infogérance contenait une clause par laquelle le prestataire devait « assurer la réversibilité du processus d’exploitation ». La cour a examiné très précisément la date à laquelle la fin du contrat était devenue certaine, les courriers échangés, la tentative de restitution et l’attitude du client.

L’enseignement pratique est clair : celui qui invoque un défaut de réversibilité doit prouver le manquement, le délai applicable, les demandes adressées au prestataire et l’obstacle concret rencontré.

Il ne suffit donc pas de dire que le prestataire bloque. Il faut constituer un dossier : contrat, tickets, emails, captures d’écran, accusés de réception, messages d’erreur, export incomplet, devis de migration, historique des incidents, relances, refus explicites, preuve d’urgence.

Une autre décision récente de la cour d’appel de Douai du 24 avril 2025, concernant un litige lié à un hébergement et à une sauvegarde, rappelle que le juge examine les obligations réellement souscrites : disponibilité, sauvegarde, localisation, continuité d’activité, clauses limitatives et responsabilité du client dans sa propre politique de sauvegarde.

Autrement dit, dans un litige SaaS ou cloud, le contenu exact de l’offre souscrite compte autant que le discours commercial.

Que faire si l’éditeur refuse l’export ou facture des frais de sortie ?

La première étape consiste à envoyer une demande écrite, précise et datée. Elle doit viser le contrat, les données concernées, le format demandé et le délai souhaité. Il faut demander le maintien provisoire des accès le temps de l’export, surtout si le compte risque d’être coupé.

La deuxième étape consiste à documenter le refus. Un refus peut être explicite, mais aussi indirect : absence de réponse, export inutilisable, fichier incomplet, format propriétaire impossible à réexploiter, lien expiré, frais non prévus, menace de suppression.

La troisième étape consiste à mettre en demeure. La mise en demeure doit éviter les formules trop générales. Elle doit rappeler les clauses, le contexte, les obligations invoquées, le préjudice redouté, le délai de réponse et les mesures attendues.

La quatrième étape consiste à préparer une solution de secours. Si les accès existent encore, il faut exporter ce qui peut l’être immédiatement, sauvegarder les documents essentiels et mandater le nouveau prestataire pour identifier les données manquantes.

La cinquième étape consiste à envisager une procédure d’urgence si le blocage menace l’activité. Selon le dossier, une action en référé peut être discutée pour obtenir une mesure conservatoire, la communication de fichiers, le maintien temporaire d’un accès, ou une interdiction de suppression. La stratégie dépend du contrat, de l’urgence, de la preuve et du tribunal compétent.

Quels arguments utiliser dans une mise en demeure ?

Une bonne mise en demeure doit être ferme, mais exploitable devant un juge.

Elle peut notamment rappeler :

  • les clauses de réversibilité, d’export, de support ou de suppression ;
  • les obligations de bonne foi contractuelle ;
  • le calendrier de résiliation ou de migration ;
  • les catégories de données à restituer ;
  • le risque de perte d’activité ou de désorganisation ;
  • le caractère personnel de certaines données, si le SaaS traite des données de clients, salariés ou prospects ;
  • la nécessité de maintenir les accès jusqu’à la remise effective des exports ;
  • les frais contestés, s’ils ne sont pas prévus ou s’ils paraissent disproportionnés ;
  • les mesures demandées : export complet, format exploitable, assistance, certificat de suppression, transfert au nouveau prestataire.

Il faut aussi éviter de mélanger toutes les demandes. Une demande d’export urgent, une contestation de facture, une demande indemnitaire et une résiliation aux torts du prestataire peuvent coexister, mais elles ne poursuivent pas le même objectif.

Quelles preuves réunir avant d’agir ?

Le dossier doit être construit avant le contentieux, pas après.

Les pièces prioritaires sont :

  • le contrat SaaS, les conditions générales et les avenants ;
  • les bons de commande et les factures ;
  • le contrat de sous-traitance RGPD ou DPA ;
  • les échanges sur la résiliation, l’export ou la migration ;
  • les tickets support et les réponses du prestataire ;
  • les captures d’écran des interfaces d’export ;
  • les fichiers reçus et les preuves de leur caractère incomplet ;
  • les logs d’accès ou d’incident, si disponibles ;
  • les devis du nouveau prestataire pour récupérer ou retraiter les données ;
  • les éléments montrant l’impact opérationnel : commandes bloquées, facturation impossible, clients non traités, comptabilité inaccessible.

Si des données personnelles sont concernées, il faut aussi vérifier si une violation de données doit être notifiée, si des personnes doivent être informées, et si le prestataire a respecté ses obligations de sécurité et d’assistance.

Paris et Île-de-France : quand agir en urgence ?

À Paris et en Île-de-France, les litiges SaaS concernent souvent des PME, cabinets, commerces, agences, startups, franchises ou sociétés de services qui utilisent un logiciel métier au quotidien.

L’urgence existe notamment lorsque :

  • le logiciel contient la base clients ou les dossiers actifs ;
  • la facturation, la comptabilité ou la prise de rendez-vous dépend du SaaS ;
  • une migration est prévue à date fixe ;
  • le prestataire annonce une suppression prochaine ;
  • les accès administrateurs ont été coupés ;
  • le nouveau prestataire ne peut pas reprendre les données ;
  • une échéance fiscale, comptable, sociale ou commerciale dépend des exports.

Dans ces situations, le cabinet peut intervenir rapidement pour analyser le contrat, rédiger une mise en demeure, organiser la preuve, négocier avec le prestataire et, si nécessaire, préparer une procédure d’urgence.

La clause de réversibilité à prévoir dans les prochains contrats

Pour éviter le même litige au prochain changement de prestataire, la clause de réversibilité doit être concrète.

Elle doit prévoir :

  • un inventaire des données restituables ;
  • des formats ouverts ou documentés ;
  • un délai d’export ;
  • un maintien temporaire des accès ;
  • le coût de l’assistance à la sortie ;
  • les conditions de transfert à un nouveau prestataire ;
  • la suppression ou l’archivage des données après restitution ;
  • les sauvegardes concernées ;
  • les personnes habilitées à déclencher la réversibilité ;
  • une procédure en cas d’urgence ou de résiliation pour faute.

Une clause qui se limite à dire que « les données appartiennent au client » est insuffisante. Ce qui compte, c’est la capacité pratique à les récupérer au bon moment, dans un format exploitable, avec des preuves.

Sources juridiques utiles

Le texte européen de référence est le règlement (UE) 2023/2854, dit Data Act. La Commission européenne présente également le dispositif sur sa page officielle consacrée au Data Act.

Pour les données personnelles, la CNIL rappelle le cadre du RGPD et a publié une présentation du règlement sur les données.

La décision de la cour d’appel de Pau du 27 mai 2025 sur la réversibilité informatique est consultable sur le site de la Cour de cassation : CA Pau, 27 mai 2025, n° 22/03076. La décision de la cour d’appel de Douai du 24 avril 2025 sur les obligations d’un prestataire d’hébergement et de sauvegarde est également consultable en ligne : CA Douai, 24 avril 2025, n° 23/00858.

Pour un accompagnement plus large, vous pouvez consulter notre page dédiée au droit des affaires à Paris et notre article sur les fuites de données chez un prestataire ou sous-traitant RGPD.

Besoin d’un avis rapide sur votre dossier.

Consultation téléphonique en 48 heures avec un avocat du cabinet.

Nous analysons votre contrat SaaS, vos preuves, les données à récupérer et la stratégie utile pour obtenir une sortie propre ou agir en urgence.

À Paris et en Île-de-France, vous pouvez joindre le cabinet au 06 46 60 58 22 ou nous écrire via le formulaire de contact du cabinet.

Envoyez vos pièces. Recevez une stratégie.

Transmettez les pièces de votre dossier au cabinet. Maître Reda KOHEN vous répond personnellement sous 24 heures avec une première analyse stratégique.

Appeler maintenant →Écrire au cabinet
Première analyse offerte
Réponse personnelle sous 24 h
100 % confidentiel
Jusqu’à 1 Go de pièces

Source : Cour de cassation – Base Open Data « Judilibre » & « Légifrance ».

Laisser un commentaire

En savoir plus sur Maître Reda Kohen, avocat en droit immobilier et droit des affaires à Paris

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Poursuivre la lecture