CONTRAT SAAS (SOFTWARE AS A SERVICE)
Ncciv Livre 5 · CDE Livre XI · RGPD · Directive (UE) 2019/770 · Belgique · Effet : 15/05/2026 · Solution : Prosales CRM
FOURNISSEUR SAAS
Cloud CRM Brussels SRL (SRL)
Avenue Louise 222, bte 8, 1050 Bruxelles
N° BCE : 0789.123.456
TVA : BE 0789.123.456
Tél. : +32 2 808 12 34
E-mail : pierre.vandenberg@cloud-crm.be
Représenté par : Pierre Vandenberg, CEO
Par : Pierre Vandenberg, CEO
CLIENT
Distri Vlaanderen BV (BV)
Korenmarkt 12, 9000 Gent
N° BCE : 0654.321.987
TVA : BE 0654.321.987
Secteur : Distribution alimentaire B2B
Contact technique : Tom De Bruyn — IT Manager
Contact administratif : comptabilite@distri-vlaanderen.be
Représenté par : Sofie Janssens, Directrice générale
Par : Sofie Janssens, Directrice générale
Solution : ProSales CRM · Plan Pro
Durée initiale : 12 mois · Reconduction tacite
ENTRE LES SOUSSIGNÉS :
Cloud CRM Brussels SRL, SRL, dont le siège est établi à Avenue Louise 222, bte 8, 1050 Bruxelles, inscrite à la BCE sous le numéro 0789.123.456, TVA BE 0789.123.456, représentée par Pierre Vandenberg, CEO, ci-après désignée le « Fournisseur »,
ET
Distri Vlaanderen BV, BV, dont le siège est établi à Korenmarkt 12, 9000 Gent, inscrite à la BCE sous le numéro 0654.321.987, TVA BE 0654.321.987, représentée par Sofie Janssens, Directrice générale, ci-après désignée le « Client »,
Ci-après désignées collectivement les « Parties »,
PRÉAMBULE : Le Fournisseur exploite la solution logicielle ProSales CRM (modules : CRM, Marketing Automation, Reporting BI), accessible en mode SaaS (Software as a Service) via une interface web hébergée à Union européenne (datacenter : Frankfurt (AWS eu-central-1)). Le Client souhaite souscrire à un droit d'accès à cette solution dans les conditions ci-après définies. Les Parties ont convenu ce qui suit, dans le cadre du Nouveau Code civil belge (Livre 5), du Code de droit économique (Livre XI), du Règlement (UE) 2016/679 (RGPD) et de la Directive (UE) 2019/770 transposée en droit belge.
Le présent contrat a pour objet la mise à disposition par le Fournisseur, au profit du Client, d'un droit d'accès non exclusif, non cessible et limité à la solution ProSales CRM (ci-après le « Service »), exploitée en mode SaaS et accessible via Internet. Le Service est fourni « tel quel », selon le plan d'abonnement souscrit, en contrepartie du paiement des redevances prévues à l'article relatif au prix. Le présent contrat ne constitue ni une licence d'utilisation au sens de l'art. XI.294 CDE (programmes d'ordinateur), ni une cession de droits intellectuels.
Aux fins du présent contrat :
SaaS (Software as a Service) : modèle de fourniture logicielle dans lequel l'application est hébergée par le Fournisseur sur ses propres infrastructures (ou celles d'un sous-traitant) et mise à disposition du Client via Internet, sans installation locale ;
Service : la solution logicielle ProSales CRM et l'ensemble des fonctionnalités, modules et services associés effectivement souscrits par le Client ;
Données du Client : toutes données, informations, documents ou contenus, en ce compris les données à caractère personnel au sens de l'art. 4(1) RGPD, que le Client traite, héberge, télécharge ou génère via le Service ;
Période d'abonnement : la durée initiale stipulée à l'article relatif à la durée, ainsi que toute période de reconduction ;
Utilisateur : toute personne physique autorisée par le Client à accéder au Service, dans la limite du nombre de sièges souscrits.
3.
ACCÈS AU SERVICE AND COMPTE UTILISATEUR
À compter de la date d'effet du présent contrat, le Fournisseur ouvre au Client un compte d'administration permettant la création et la gestion des comptes Utilisateurs, dans la limite du nombre de sièges souscrits (25 sièges).
Le Client est seul responsable :
a) de la conservation, de la confidentialité et de l'usage des identifiants et mots de passe ;
b) de toute action effectuée via les comptes Utilisateurs qui lui sont attribués ;
c) du respect par ses Utilisateurs des conditions d'utilisation du Service ;
d) de la véracité des informations communiquées lors de la création des comptes.
Le Fournisseur peut suspendre, sans préavis et après notification au Client, tout compte Utilisateur en cas d'usage manifestement contraire au présent contrat ou de menace pour la sécurité du Service.
4.
PLANS AND LIMITES D'USAGE
Le Client souscrit au plan Pro pour 25 sièges Utilisateurs et 50000 transactions/mois. Le détail des fonctionnalités incluses dans le plan, ainsi que les limites quantitatives (volumes de stockage, requêtes API, transactions, intégrations), figure sur la page tarifaire en vigueur du Fournisseur ou en annexe au présent contrat.
En cas de dépassement durable d'une limite quantitative, le Fournisseur en informe le Client par écrit. À défaut de régularisation dans un délai de quinze (15) jours (passage à un plan supérieur ou réduction de l'usage), le Fournisseur peut facturer la consommation en sus selon le tarif unitaire en vigueur.
5.
TARIFICATION AND PAIEMENT
En contrepartie de l'accès au Service, le Client s'engage à verser au Fournisseur une redevance mensuelle d'un montant unitaire de 49,00 EUR par siège, hors TVA.
Les redevances sont facturées d'avance pour chaque période. Les factures sont payables à trente (30) jours date de facture, conformément à la Loi du 2 août 2002 concernant la lutte contre le retard de paiement dans les transactions commerciales. À défaut de paiement à l'échéance, des intérêts de retard au taux légal commercial (Art. 5 Loi 02/08/2002), ainsi qu'une indemnité forfaitaire de 40,00 EUR pour frais de recouvrement, sont dus de plein droit et sans mise en demeure.
Indexation : Les tarifs sont indexés annuellement à la date anniversaire du contrat, dans la limite de l'évolution de l'indice santé belge (Statbel), avec un plafond de 5 % par année. Toute hausse au-delà de ce plafond ouvre au Client un droit de résiliation sans pénalité, à exercer par écrit dans les trente (30) jours suivant la notification.
En cas de défaut de paiement persistant supérieur à trente (30) jours après mise en demeure, le Fournisseur peut suspendre l'accès au Service jusqu'à régularisation, sans que cette suspension ne décharge le Client de son obligation de paiement.
6.
DURÉE INITIALE AND RECONDUCTION
Le présent contrat est conclu pour une durée initiale de 12 mois à compter du 15/05/2026.
À l'issue de la période initiale, le contrat est reconduit tacitement pour des périodes successives de douze (12) mois, sauf dénonciation par l'une des Parties notifiée par écrit (lettre recommandée ou e-mail avec accusé de réception) au moins 3 mois avant l'échéance. Conformément à la Loi du 4 avril 2019 relative aux clauses abusives entre entreprises (CDE art. VI.91/3 à VI.91/6), le Fournisseur s'engage à informer le Client par écrit de l'échéance et des modalités de dénonciation au moins trois (3) mois avant celle-ci.
7.
NIVEAUX DE SERVICE (SLA)
Le Fournisseur s'engage à fournir le Service dans des conditions raisonnables de disponibilité, de performance et de support technique, en s'efforçant d'assurer une continuité de service 24/7, hors fenêtres de maintenance planifiée.
Support technique souscrit : business (heures ouvrables BE, FR/NL).
Les fenêtres de maintenance planifiée sont annoncées au moins quarante-huit (48) heures à l'avance par e-mail ou via le tableau de bord du Service. Les indisponibilités résultant d'une force majeure (art. 5.226 NCCiv), d'un incident chez un fournisseur d'infrastructure tiers, d'une attaque DDoS ou d'une action du Client lui-même n'entrent pas dans le calcul de la disponibilité.
Les Données du Client demeurent la propriété exclusive du Client. Le Fournisseur n'acquiert aucun droit de propriété intellectuelle sur celles-ci et s'interdit de les utiliser à toute autre fin que l'exécution du présent contrat.
Le Client garantit qu'il dispose de l'ensemble des droits, autorisations et bases légales nécessaires pour héberger et traiter les Données du Client via le Service, et qu'il respecte la législation applicable (RGPD, Loi du 30/07/2018 LCV, droit d'auteur, secret professionnel, etc.).
Le Fournisseur conserve les Données du Client pendant toute la durée du contrat. Au terme de celui-ci, les modalités de restitution et d'effacement sont régies par l'article relatif à la réversibilité.
9.
PROTECTION DES DONNÉES PERSONNELLES — RGPD
Dans l'hypothèse où le Service traiterait des données à caractère personnel pour le compte du Client, le Client agit en qualité de responsable du traitement au sens de l'art. 4(7) RGPD et le Fournisseur en qualité de sous-traitant au sens de l'art. 4(8) RGPD.
Conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD), ce traitement est encadré par un Accord de traitement des données (Data Processing Agreement, ci-après « DPA ») annexé au présent contrat, qui en fait partie intégrante.
Le Fournisseur s'engage à : (a) ne traiter les données que sur instruction documentée du Client ; (b) garantir la confidentialité de son personnel ; (c) prendre les mesures techniques et organisationnelles appropriées (art. 32 RGPD) ; (d) assister le Client dans l'exercice des droits des personnes concernées (art. 12 à 22 RGPD) et dans ses obligations de notification de violation (art. 33-34 RGPD) ; (e) supprimer ou restituer les données personnelles à la fin du contrat ; (f) mettre à disposition toutes les informations nécessaires pour démontrer la conformité.
Conformément à l'article 32 RGPD, le Fournisseur met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, et notamment :
a) chiffrement des données en transit (TLS 1.2 minimum) et au repos (AES-256 ou équivalent) ;
b) authentification forte avec possibilité d'activation de l'authentification multifacteur (MFA) ;
c) sauvegardes régulières avec restauration testée ;
d) cloisonnement logique des Données du Client ;
e) journalisation des accès administrateurs ;
f) procédure de gestion des incidents de sécurité avec notification au Client dans un délai utile, et au plus tard dans les 72 heures en cas de violation de données à caractère personnel (art. 33 RGPD).
Le Fournisseur s'engage à corriger sans délai indu les vulnérabilités de sécurité critiques identifiées dans le Service.
11.
PROPRIÉTÉ INTELLECTUELLE
Le Fournisseur demeure seul propriétaire de l'ensemble des droits de propriété intellectuelle relatifs à la solution logicielle (programmes d'ordinateur protégés au titre de l'art. XI.294 et s. CDE), à son code source, à sa documentation, à ses interfaces, à sa charte graphique, à ses bases de données (art. XI.305 et s. CDE) et à toutes améliorations, évolutions ou contributions qui y seraient apportées, en ce compris celles inspirées des retours du Client.
Le présent contrat ne confère au Client qu'un droit d'usage non exclusif, non cessible et limité à la durée du contrat, dans les conditions du plan souscrit. Toute reproduction, décompilation, ingénierie inverse, mise à disposition à des tiers ou utilisation au-delà du périmètre autorisé est strictement interdite, sous réserve des exceptions impératives prévues à l'art. XI.300 CDE (interopérabilité).
Chaque Partie s'engage à conserver strictement confidentielles toutes informations non publiques relatives à l'autre Partie dont elle aurait connaissance dans le cadre du présent contrat, et notamment les informations techniques, commerciales, financières et personnelles. Cette obligation s'applique pendant toute la durée du contrat et pendant une durée de cinq (5) ans après son expiration. Le Fournisseur s'engage à imposer la même obligation à son personnel et à ses sous-traitants. La violation de cette obligation peut donner lieu à indemnisation, sans préjudice de la protection accordée par la Loi du 30 juillet 2018 relative aux secrets d'affaires.
13.
LIMITATION DE RESPONSABILITÉ
Sauf en cas de dol, de faute lourde ou d'atteinte aux dispositions impératives applicables (notamment la Loi du 4 avril 2019 sur les clauses abusives B2B — CDE art. VI.91/3 à VI.91/6 — et le RGPD), la responsabilité totale du Fournisseur, toutes causes confondues et tous préjudices cumulés, est limitée par sinistre et par année civile au montant des redevances effectivement payées par le Client au titre des douze (12) mois précédant le fait générateur du dommage.
Le Fournisseur ne répond en aucun cas des dommages indirects, immatériels ou consécutifs, tels que perte de chiffre d'affaires, perte de clientèle, perte d'image, perte de données (au-delà de la dernière sauvegarde restaurée) ou interruption d'activité, sauf disposition légale impérative contraire.
Cette clause est rédigée conformément aux exigences de l'art. VI.91/3 CDE et est expressément négociée entre Parties professionnelles avisées.
Conformément à l'article 5.226 du NCCiv, aucune des Parties ne pourra être tenue responsable de l'inexécution de ses obligations résultant d'un événement de force majeure, c'est-à-dire un événement imprévisible, irrésistible et extérieur, en ce compris : catastrophes naturelles, attentats, conflits armés, pandémies, décisions des autorités publiques, défaillance majeure d'un opérateur télécom ou d'une infrastructure tierce critique. La Partie empêchée notifie l'événement à l'autre Partie dans les meilleurs délais. Si l'empêchement persiste plus de soixante (60) jours consécutifs, chaque Partie pourra résilier le contrat sans indemnité par notification écrite.
15.
SUSPENSION AND RÉSILIATION
Outre les cas de résiliation propres à chaque clause, chaque Partie peut résilier le contrat de plein droit, par lettre recommandée, en cas de manquement grave de l'autre Partie à ses obligations, non régularisé dans un délai de trente (30) jours après mise en demeure restée infructueuse, conformément à l'art. 5.86 NCCiv.
Le Fournisseur peut en outre suspendre l'accès au Service en cas : (a) de défaut de paiement persistant ; (b) d'usage manifestement contraire au contrat ou portant atteinte à la sécurité ou à l'intégrité du Service ; (c) d'injonction d'une autorité compétente. La suspension n'emporte ni résiliation ni dispense de paiement des redevances dues.
16.
RÉVERSIBILITÉ AND EXPORT DES DONNÉES
À tout moment pendant la durée du contrat et pendant une période de quatre-vingt-dix (90) jours suivant son terme (« période de réversibilité »), le Client peut exporter les Données du Client dans un format structuré, couramment utilisé et lisible par machine (format souscrit : csv-json), conformément aux principes de portabilité (art. 20 RGPD pour les données personnelles). Au terme de la période de réversibilité, le Fournisseur supprimera de manière irréversible l'ensemble des Données du Client, sauf obligation légale de conservation et sauf demande expresse contraire du Client formulée par écrit.
Exit assistance : Sur demande du Client, le Fournisseur fournit une assistance à la migration vers une solution alternative, dans la limite définie en annexe (jours-homme convenus, support technique de 8h × 5 jours/semaine pendant la période de réversibilité).
17.
LOI APPLICABLE AND JURIDICTION
Le présent contrat est exclusivement soumis au droit belge, à l'exclusion de toute règle de conflit de lois. Tout litige relatif à sa formation, son interprétation, son exécution ou sa résiliation sera soumis, à défaut de règlement amiable préalable, à la compétence exclusive du Tribunal de l'entreprise de Bruxelles, conformément au Code judiciaire belge.
18.
NIVEAU DE SERVICE GARANTI (SLA) AND SERVICE CREDITS
Le Fournisseur garantit contractuellement un taux de disponibilité mensuel du Service au moins égal à 99.9 %, calculé sur la base du temps réel d'indisponibilité, hors maintenances planifiées et hors cas de force majeure.
Service credits : En cas de non-respect du taux garanti sur un mois civil, le Client bénéficie d'un crédit imputé sur la facture suivante, selon le barème suivant :
· entre 99.9 % et 99,0 % : 5 % du montant mensuel ;
· entre 99,0 % et 95,0 % : 15 % du montant mensuel ;
· en deçà de 95,0 % : 30 % du montant mensuel.
Les service credits constituent le seul recours du Client en cas de non-atteinte du SLA, sauf manquement grave au sens de l'art. 5.86 NCCiv ouvrant droit à résiliation aux torts exclusifs du Fournisseur.
19.
ACCORD DE TRAITEMENT DES DONNÉES (DPA) — ANNEXÉ
Un Accord de traitement des données (Data Processing Agreement) conforme à l'article 28 du RGPD est annexé au présent contrat et en constitue une partie intégrante. Le DPA précise notamment : (a) l'objet, la durée, la nature et la finalité du traitement ; (b) le type de données traitées et les catégories de personnes concernées ; (c) les obligations et droits du responsable du traitement ; (d) la liste exhaustive des sous-processeurs autorisés ; (e) les mesures techniques et organisationnelles de sécurité (art. 32 RGPD) ; (f) les conditions de retour ou de destruction des données en fin de contrat.
Sous-processeurs initiaux autorisés : AWS Frankfurt (hébergement infrastructure), SendGrid Inc. (e-mails transactionnels — US-DPF), Stripe Payments Europe (encaissement abonnements — IE).
Toute modification de la liste des sous-processeurs fait l'objet d'une notification écrite préalable au Client, qui dispose d'un droit d'objection motivé dans un délai de trente (30) jours.
Transferts internationaux : Les éventuels transferts vers les États-Unis sont encadrés par le cadre EU-U.S. Data Privacy Framework (DPF), certification du sous-processeur concerné disponible sur dataprivacyframework.gov.
20.
AUDIT DE SÉCURITÉ ANNUEL
Le Fournisseur fait l'objet, au moins une fois par an, d'un audit indépendant attestant du respect des standards de sécurité reconnus, notamment iso27001. Le Fournisseur tient à disposition du Client, sur demande écrite et sous engagement de confidentialité, le rapport d'audit ou son résumé exécutif, ainsi que les éventuels plans de remédiation.
Le Client peut, à ses frais et avec un préavis raisonnable d'au moins trente (30) jours, mandater un auditeur tiers indépendant pour vérifier le respect par le Fournisseur de ses obligations de sécurité et de protection des données, dans le respect de la confidentialité des autres clients du Fournisseur. Une telle vérification ne peut intervenir plus d'une fois par année civile, sauf incident majeur ou demande expresse d'une autorité de contrôle.
21.
PLAN DE CONTINUITÉ DU SERVICE — FAILLITE AND ABANDON
Le Fournisseur déclare disposer d'un plan de continuité d'activité (PCA) et d'un plan de reprise après sinistre (PRA) testés annuellement, garantissant les objectifs suivants : RPO 4 heures / RTO 8 heures.
Faillite, cessation d'activité ou abandon du Service : En cas d'ouverture d'une procédure d'insolvabilité, de réorganisation judiciaire, de dissolution, de cessation d'activité ou d'annonce de retrait du marché de la solution, le Fournisseur s'engage à : (a) en informer immédiatement le Client par écrit ; (b) maintenir le Service en exploitation pendant au moins quatre-vingt-dix (90) jours pour permettre la migration ; (c) coopérer activement à l'orchestration de la sortie, en ce compris la fourniture des Données du Client et de toute documentation utile à leur exploitation par un tiers.
Le Fournisseur dépose une copie à jour du code source de la solution, ainsi que la documentation technique d'exploitation, auprès d'un tiers de confiance (escrow agent) — par exemple NCC Group, ou un agent désigné par accord des Parties. La libération du dépôt au profit du Client peut être déclenchée en cas : (a) de faillite du Fournisseur ; (b) d'arrêt définitif de l'exploitation du Service annoncé par le Fournisseur sans solution de reprise ; (c) de manquement grave et persistant du Fournisseur à ses obligations contractuelles, dûment constaté.
La libération du dépôt confère au Client un droit d'usage interne du code aux seules fins de la continuité de l'exploitation des Données du Client, à l'exclusion de toute commercialisation. Les frais d'escrow sont supportés par le Fournisseur.
23.
CHANGE MANAGEMENT — MODIFICATIONS FONCTIONNELLES
Toute modification fonctionnelle substantielle du Service (suppression d'une fonctionnalité, modification rétro-incompatible d'API, retrait d'un module, modification des limites quantitatives du plan) est notifiée au Client par écrit avec un préavis minimum de 60 jours.
Si la modification entraîne une dégradation matérielle de l'usage du Service par le Client, ce dernier dispose d'un droit de résiliation unilatérale du contrat sans pénalité, à exercer par écrit dans les trente (30) jours suivant la notification, avec effet à la date de mise en œuvre de la modification.
Les corrections de bugs, mises à jour de sécurité et améliorations purement additives ne sont pas considérées comme des modifications substantielles au sens du présent article.
24.
DATA ACT — CHANGEMENT DE SERVICE DE TRAITEMENT DE DONNÉES (CLOUD)
Le Règlement (UE) 2023/2854 (« Data Act »), pleinement applicable depuis le 12 septembre 2025 (art. 23 à 31), confère au Client le droit de changer de service de traitement de données (cloud) sans entrave injustifiée. À ce titre, le Fournisseur s'engage à :
a) Préavis de résiliation : permettre au Client de mettre fin au Service moyennant un délai de préavis contractuel maximal de deux (2) mois (art. 25) ;
b) Période transitoire : assurer une période transitoire de migration de trente (30) jours calendrier, prolongeable lorsque la migration est techniquement irréalisable dans ce délai, jusqu'à un maximum de sept (7) mois, pendant laquelle le Service reste disponible (art. 25, §4) ;
c) Équivalence fonctionnelle and formats ouverts : apporter une assistance raisonnable à la migration et exporter l'ensemble des données et actifs numériques exportables dans un format structuré, couramment utilisé et lisible par machine (art. 25, §2, point e) ;
d) Frais de changement : ne facturer, jusqu'au 11 janvier 2027, que des frais de changement réduits n'excédant pas les coûts effectivement supportés ; à compter du 12 janvier 2027, tout frais de changement est interdit (art. 29).
La présente clause complète, sans s'y substituer, l'article relatif à la réversibilité et à l'export des données.
25.
AI ACT — FONCTIONNALITÉS D'INTELLIGENCE ARTIFICIELLE
Lorsque le Service intègre des fonctionnalités d'intelligence artificielle, les Parties se conforment au Règlement (UE) 2024/1689 (« AI Act »), entré en vigueur le 1er août 2024 et d'application échelonnée (interdiction des pratiques prohibées et obligation de littératie en IA depuis le 2 février 2025 ; modèles d'IA à usage général depuis le 2 août 2025 ; systèmes à haut risque à compter du 2 août 2026). Le Fournisseur s'engage à :
a) Répartition des rôles : préciser sa qualité de fournisseur et/ou de déployeur au sens de l'art. 3 et assumer les obligations correspondantes ;
b) Transparence : informer les utilisateurs lorsqu'ils interagissent avec un système d'IA et identifier les contenus générés ou manipulés par IA (art. 50) ;
c) Pratiques interdites : s'abstenir de toute pratique prohibée par l'art. 5 (notation sociale, manipulation préjudiciable, etc.) ;
d) Littératie and haut risque : veiller à un niveau suffisant de littératie en IA de son personnel (art. 4) et, si le Service relève d'un cas d'usage à haut risque (annexe III), respecter les exigences renforcées applicables ;
e) Données du Client : ne pas utiliser les Données du Client pour entraîner, réentraîner ou améliorer des modèles d'IA sans le consentement écrit préalable du Client.
Le Fournisseur tient à disposition du Client la documentation pertinente attestant de la conformité des fonctionnalités d'IA intégrées au Service.
26.
ASSURANCE CYBER AND RC PROFESSIONNELLE
Le Fournisseur déclare avoir souscrit et s'engage à maintenir, pendant toute la durée du contrat, une police d'assurance « responsabilité civile professionnelle » et une police « cyber-risques » couvrant notamment : (a) sa responsabilité au titre des manquements à la sécurité des données ; (b) les frais de notification d'une violation de données personnelles ; (c) les frais d'expertise forensique ; (d) les éventuelles sanctions administratives non couvertes par une exclusion légale ; (e) la perte d'exploitation du Client résultant d'une indisponibilité majeure imputable. Le Fournisseur fournit, sur demande écrite du Client, l'attestation d'assurance en cours de validité.
EN FOI DE QUOI, les parties ont signé le présent document à la date indiquée.
Date : ____________________
Sofie Janssens
Directrice générale
Date : ____________________