CONTRAT DE NIVEAU DE SERVICE (SLA)
Ncciv Livre 5 · Loi Du 4 Avril 2019 (CDE Art. VI.91/3 Et S.) · ISO/IEC 20000-1:2018 · Entrée En Vigueur Le : 01/06/2026 · À Bruxelles
PRESTATAIRE
Brussels Cloud Services SRL (SRL)
Avenue de la Toison d'Or 67, 1060 Bruxelles
N° BCE : 0654.321.987
TVA : BE 0654.321.987
Représenté par : Marc Lambert, Directeur des Opérations
Contact technique : Équipe SRE — astreinte 24/7 (support@brusselscloud.be)
Contact commercial : Sophie Dubois (commercial@brusselscloud.be)
Par : Marc Lambert, Directeur des Opérations
CLIENT
Belgian SaaS Company SA (SA)
Rue Royale 100, 1000 Bruxelles
N° BCE : 0712.345.678
TVA : BE 0712.345.678
Représenté par : Anne Vermeulen, CEO
Contact technique : Pieter De Smet (cto@belgian-saas.be)
Contact d'escalade : Anne Vermeulen (ceo@belgian-saas.be)
Par : Anne Vermeulen, CEO
Service : Managed services / infogérance
Disponibilité cible : 99.9% · Mesure mensuelle
ENTRE LES SOUSSIGNÉS :
Brussels Cloud Services SRL, SRL, dont le siège est établi à Avenue de la Toison d'Or 67, 1060 Bruxelles, inscrite à la BCE sous le numéro 0654.321.987, représentée par Marc Lambert, Directeur des Opérations, ci-après dénommée le « Prestataire »,
ET
Belgian SaaS Company SA, SA, dont le siège est établi à Rue Royale 100, 1000 Bruxelles, inscrite à la BCE sous le numéro 0712.345.678, représentée par Anne Vermeulen, CEO, ci-après dénommée le « Client »,
Ci-après désignées collectivement les « Parties »,
Le présent Contrat de Niveau de Service (ci-après le « SLA ») accompagne et complète le contrat principal Contrat-cadre de prestation de services hébergement et infogérance du 15/01/2026 conclu entre les Parties (ci-après le « Contrat Principal ») et définit, conformément au Nouveau Code civil belge (Livre 5 — Obligations, en vigueur depuis le 1er janvier 2023) et au référentiel ISO/IEC 20000-1:2018, les niveaux de service garantis par le Prestataire, les indicateurs de mesure (SLI), les objectifs de service (SLO), les modalités de reporting, les pénalités contractuelles (« service credits ») et les conditions d'exclusion. Le présent SLA prévaut sur le Contrat Principal pour toutes les questions de niveaux de service ; pour le surplus, le Contrat Principal s'applique.
Le présent SLA a pour objet de définir, de manière mesurable et opposable, les niveaux de service que le Prestataire s'engage à fournir au Client dans le cadre des services suivants : Managed services / infogérance — Hébergement de la plateforme web SaaS de gestion documentaire, base de données PostgreSQL clusterisée, support technique de niveau 2 et 3, monitoring 24/7, sauvegardes chiffrées. Le présent SLA constitue une obligation de résultat sur les indicateurs chiffrés (SLO) listés à l'article 4 et suivants, et une obligation de moyens pour les autres aspects opérationnels. Il est régi par les articles 5.86 et suivants du NCCiv et par la Loi du 4 avril 2019 instaurant un cadre B2B équilibré (CDE, art. VI.91/3 à VI.91/6).
Aux fins du présent SLA, les termes suivants ont la signification ci-après :
SLA (Service Level Agreement) : le présent contrat de niveau de service.
SLI (Service Level Indicator) : indicateur quantitatif mesurant un aspect du service (p. ex. taux de disponibilité, MTTR, latence).
SLO (Service Level Objective) : valeur cible chiffrée d'un SLI, à respecter par le Prestataire sur la période de mesure.
Service Credits : pénalité contractuelle exprimée en pourcentage de la redevance mensuelle, due par le Prestataire en cas de non-respect d'un SLO, conformément aux articles 5.88 à 5.90 NCCiv.
Période de mesure : période mensuelle pendant laquelle les SLI sont calculés.
Maintenance planifiée : opération de maintenance préalablement notifiée selon l'article 10.
Incident : tout événement non planifié provoquant une interruption ou une dégradation du service.
Sévérité : classification d'un incident (Sév. 1 à 4) selon l'article 7.
RTO/RPO : Recovery Time Objective et Recovery Point Objective, applicables au plan de continuité.
3.
DESCRIPTION DES SERVICES
Le Prestataire fournit au Client les services suivants : Managed services / infogérance.
Périmètre fonctionnel : Hébergement de la plateforme web SaaS de gestion documentaire, base de données PostgreSQL clusterisée, support technique de niveau 2 et 3, monitoring 24/7, sauvegardes chiffrées
Périmètre technique : 3 serveurs applicatifs (Linux, Kubernetes), 1 cluster PostgreSQL primary/replica, CDN Cloudflare géré, sauvegardes incrémentales horaires + dump quotidien chiffré sur deux sites EU
Le support technique est assuré 24 heures sur 24, 7 jours sur 7, en français, néerlandais et anglais, via le canal de contact convenu (portail de tickets, courriel ou téléphone d'astreinte).
Toute prestation hors périmètre est facturée séparément selon les conditions du Contrat Principal et après accord écrit préalable du Client.
Le Prestataire s'engage à maintenir un taux de disponibilité du service de 99.9% mesuré sur la période mensuelle, hors maintenance planifiée et exclusions visées à l'article 10.
La disponibilité est calculée selon la formule :
Disponibilité (%) = ((Minutes totales de la période − Minutes d'indisponibilité)) / Minutes totales) × 100
À titre indicatif, sur une période de mesure mensuelle de 30 jours (43 200 minutes) :
• 99,9% = 43,2 minutes d'indisponibilité tolérées ;
• 99,5% = 3h36 d'indisponibilité tolérées ;
• 99,0% = 7h12 d'indisponibilité tolérées.
Le seuil de disponibilité ne couvre que les services explicitement listés à l'article 3. Les services tiers (CDN, DNS externes, fournisseurs cloud upstream) sont exclus du calcul, sauf stipulation contraire à l'annexe SLO.
Outre la disponibilité, le Prestataire s'engage sur les indicateurs de performance suivants, mesurés depuis un point de mesure neutre situé en Europe :
• Latence moyenne : ≤ 200 ms pour les requêtes HTTP applicatives standard.
• Temps de réponse base de données : ≤ 50 ms (95e percentile) pour les requêtes simples.
• Throughput : capacité minimale convenue à l'annexe technique.
Les valeurs cibles spécifiques par service figurent dans la matrice SLO annexée (article D-1 du présent SLA, le cas échéant). À défaut de matrice détaillée, les présentes valeurs sont contractuellement opposables.
6.
SUPPORT ET GESTION DES INCIDENTS
Le Client signale tout incident via le portail de support ou l'adresse de contact technique du Prestataire (support@brusselscloud.be). À chaque incident est attribué un identifiant unique et une sévérité initiale par le Prestataire, susceptible de réévaluation contradictoire dans les 4 heures ouvrables.
Le Prestataire s'engage à :
a) accuser réception de chaque ticket dans le respect des délais de l'article 7 ;
b) tenir le Client informé de l'évolution de l'incident à intervalle régulier ;
c) consigner toutes les actions correctives et les communiquer à la clôture du ticket ;
d) coopérer de bonne foi (art. 5.63 NCCiv) avec les équipes du Client pour la résolution.
7.
DÉLAIS DE RÉPONSE ET DE RÉSOLUTION (PAR SÉVÉRITÉ)
Les incidents sont classés selon quatre niveaux de sévérité, avec les délais de prise en charge (MTTA — Mean Time To Acknowledge) et de résolution cible (MTTR — Mean Time To Restore) suivants :
Sévérité 1 — Critique (service totalement indisponible ou perte de données) :
MTTA ≤ 15 minutes (24/7) · MTTR cible ≤ 4 heures.
Sévérité 2 — Majeure (fonctionnalité essentielle dégradée affectant plusieurs utilisateurs) :
MTTA ≤ 1 heure ouvrable · MTTR cible ≤ 8 heures ouvrables.
Sévérité 3 — Mineure (anomalie n'affectant pas la production, contournement disponible) :
MTTA ≤ 4 heures ouvrables · MTTR cible ≤ 5 jours ouvrables.
Sévérité 4 — Demande (question, demande d'information, configuration mineure) :
MTTA ≤ 1 jour ouvrable · MTTR cible ≤ 10 jours ouvrables.
Le non-respect répété de ces délais constitue un manquement au sens de l'article 11 (pénalités).
8.
PÉRIODE ET MÉTHODE DE MESURE
La période de mesure des SLI est mensuelle, calendrier civil. Les mesures sont effectuées par le système de monitoring du Prestataire (sondes externes ou outil interne reconnu), dont la méthodologie est documentée et communiquée au Client sur simple demande. En cas de désaccord factuel sur une mesure, les Parties se réfèrent prioritairement aux logs serveur du Prestataire ; à défaut d'accord, un constat contradictoire peut être établi.
Au plus tard le 10e jour ouvrable suivant chaque période de mesure, le Prestataire transmet au Client un rapport synthétique comprenant :
a) le taux de disponibilité atteint, comparé au SLO ;
b) le nombre d'incidents par sévérité ;
c) les MTTA et MTTR moyens ;
d) la liste des incidents Sév. 1 et Sév. 2 avec actions correctives ;
e) les éventuels service credits applicables, le cas échéant.
Une revue périodique (au minimum annuelle) est organisée entre le contact technique du Prestataire et celui du Client pour analyser les tendances, les axes d'amélioration et les évolutions du périmètre.
10.
MAINTENANCE PLANIFIÉE ET EXCLUSIONS
Sont exclus du calcul des SLI :
a) les périodes de maintenance planifiée — fenêtre convenue : Dimanche 02h00 – 06h00 (heure de Bruxelles), notifiée 5 jours à l'avance ;
b) les cas de force majeure au sens de l'article 5.226 NCCiv (catastrophe naturelle, attaque DDoS massive sur l'infrastructure tierce, panne d'opérateur télécom, etc.) ;
c) les défaillances du Client ou de ses préposés (mauvaise utilisation, dépassement des quotas convenus, mots de passe compromis par négligence) ;
d) les services tiers non gérés par le Prestataire (fournisseurs upstream, intégrations externes du Client) sauf engagement explicite ;
e) les périodes durant lesquelles le Client n'a pas suivi les recommandations urgentes de sécurité communiquées par le Prestataire.
11.
PÉNALITÉS — SERVICE CREDITS
En cas de non-respect du SLO de disponibilité défini à l'article 4, sur une période de mesure mensuelle, le Prestataire accorde au Client les service credits suivants, exprimés en pourcentage de la redevance mensuelle due au titre du Contrat Principal :
• Disponibilité < SLO mais ≥ SLO − 0,5 point : 5% de la redevance mensuelle ;
• Disponibilité < SLO − 0,5 point mais ≥ SLO − 1,5 point : 10% de la redevance mensuelle ;
• Disponibilité < SLO − 1,5 point : 25% de la redevance mensuelle.
Les service credits constituent une clause pénale au sens de l'article 5.88 NCCiv. Conformément à l'article 5.89 NCCiv, le juge peut en modérer le montant s'il est manifestement excessif. Conformément à la Loi du 4 avril 2019 sur l'abus de dépendance économique B2B (CDE art. VI.91/3 à VI.91/6), ces pénalités sont réputées proportionnées et ne créent pas de déséquilibre manifeste entre les Parties.
Le service credit cumulé pour une même période de mesure est plafonné à 50% de la redevance mensuelle. Les service credits constituent le seul recours financier du Client au titre du SLA, sans préjudice du droit du Client de réclamer des dommages et intérêts complémentaires en cas de faute lourde ou intentionnelle (art. 5.90 NCCiv) ou de résolution du Contrat Principal (art. 5.243 NCCiv) en cas de manquement persistant.
Le Client doit notifier sa demande de service credit par écrit dans les 30 jours suivant la réception du rapport visé à l'article 9, sous peine de forclusion.
Conformément à l'article 5.226 du NCCiv, aucune des Parties n'est responsable de l'inexécution d'une obligation lorsque celle-ci résulte d'un cas de force majeure, c'est-à-dire d'un événement échappant raisonnablement à son contrôle, qu'elle ne pouvait raisonnablement prévoir au moment de la conclusion du SLA, et dont elle ne pouvait éviter ou surmonter les conséquences. Sont notamment considérés comme cas de force majeure : les catastrophes naturelles, les actes de guerre ou de terrorisme, les pandémies déclarées par l'OMS, les attaques cyber massives ciblant des infrastructures tierces critiques, les pannes prolongées d'opérateurs télécom de niveau Tier-1.
La Partie touchée notifie l'autre par écrit dans les 48 heures suivant la survenance de l'événement et déploie tous les moyens raisonnables pour reprendre l'exécution. Si la force majeure se prolonge plus de 30 jours consécutifs, l'une ou l'autre des Parties peut résoudre le SLA sans indemnité, par notification écrite préalable de 15 jours.
Toute modification du présent SLA, notamment des SLO, du périmètre des services ou de la matrice de pénalités, ne prend effet qu'après accord écrit signé par les représentants habilités des deux Parties. Les évolutions tarifaires éventuelles peuvent être indexées conformément à l'article 5.86 du NCCiv, selon une formule d'indexation objective et préalablement communiquée au Client. Toute modification unilatérale est réputée non écrite, conformément aux principes de bonne foi contractuelle (art. 5.63 NCCiv).
14.
LOI APPLICABLE ET JURIDICTION
Le présent SLA est régi par le droit belge, à l'exclusion de ses règles de conflit de lois. Tout litige relatif à son interprétation, son exécution ou sa résolution sera soumis, à défaut de règlement amiable préalable, à la compétence exclusive du Tribunal de l'entreprise de Bruxelles, conformément au Code judiciaire belge. Les Parties peuvent également convenir, par avenant, de soumettre le litige à l'arbitrage du Centre Belge d'Arbitrage et de Médiation (CEPANI).
15.
MATRICE SLO PAR SERVICE
Les SLO chiffrés suivants prévalent sur les seuils génériques des articles 4 et 5 ci-dessus pour les services concernés :
- API REST publique — Disponibilité : cible 99,95% (mesure : Sondes externes 1 min)
- Base de données PostgreSQL — Latence p95 : cible ≤ 50 ms (mesure : Mesure interne 5 min)
- Support tickets Sév. 1 — MTTA : cible ≤ 15 min (mesure : Outil de ticketing)
- Sauvegardes — Restauration test : cible 100% (mesure : Test mensuel)
Tout SLI non listé ci-dessus reste régi par les seuils génériques. Conformément à la Loi du 4 avril 2019 (CDE art. VI.91/3), ces SLO sont chiffrés, mesurables et opposables — un SLO non chiffré ne peut être invoqué devant les tribunaux belges.
16.
SERVICE CREDITS À PALIERS RENFORCÉS
En complément de l'article 11, les paliers suivants s'appliquent en cas de manquement répété sur trois (3) périodes de mesure consécutives :
• Manquement répété sur 3 périodes : service credit majoré à 15% de la redevance mensuelle ;
• Manquement répété sur 6 périodes : service credit majoré à 25%, et droit du Client à demander un plan de remédiation contractuel sous 30 jours ;
• Manquement répété sur 9 périodes : droit du Client de résoudre le Contrat Principal de plein droit, sans indemnité de rupture due au Prestataire (art. 5.243 NCCiv), et obligation pour le Prestataire de fournir l'assistance à la sortie renforcée prévue au présent SLA.
17.
REPORTING DÉTAILLÉ ET DASHBOARD
Outre le rapport mensuelle prévu à l'article 9, le Prestataire met à disposition du Client un tableau de bord en temps réel (dashboard web sécurisé) présentant : disponibilité courante, incidents en cours, historique sur 12 mois, MTTR/MTTA glissants, taux de respect des SLO par catégorie de service. L'accès est nominatif, sécurisé par authentification forte et journalisé conformément aux obligations RGPD du Prestataire en sa qualité de sous-traitant le cas échéant.
18.
ANALYSE DES CAUSES RACINES (RCA)
Pour tout incident de Sévérité 1, le Prestataire produit et transmet au Client une analyse des causes racines (Root Cause Analysis — RCA) écrite, dans un délai maximal de 5 jours ouvrables à compter de la résolution de l'incident. La RCA contient au minimum :
a) la chronologie détaillée de l'incident et de la résolution ;
b) l'identification de la cause racine (technique, organisationnelle ou humaine) ;
c) les mesures correctives immédiates prises ;
d) les mesures préventives planifiées et leur calendrier de mise en œuvre ;
e) le cas échéant, l'évaluation de l'impact sur les données du Client et la notification RGPD si applicable (art. 33 RGPD).
L'absence ou le retard de RCA constitue un manquement contractuel sanctionné par un service credit forfaitaire de 5% de la redevance mensuelle.
En cas d'incident non résolu dans les délais définis à l'article 7 ou de désaccord persistant, le Client peut activer la procédure d'escalade suivante :
L1 — Support technique (15 minutes) : équipe de premier niveau du Prestataire.
L2 — Ingénierie (1 heure ouvrable) : ingénieur senior et chef d'équipe support.
L3 — Direction technique (4 heures ouvrables) : CTO ou Directeur des opérations.
Direction (1 jour ouvrable) : Direction Générale du Prestataire et contact d'escalade du Client (Anne Vermeulen).
Chaque palier d'escalade doit être documenté par écrit (courriel ou ticket). L'escalade ne suspend pas l'application des service credits prévus à l'article 11.
20.
DROIT D'AUDIT — ISO/IEC 20000 ET SOC 2
Le Client peut, une fois par an et moyennant un préavis écrit de 30 jours, faire procéder à un audit du respect par le Prestataire des engagements du présent SLA et de ses obligations de sécurité de l'information. L'audit est conduit par un auditeur indépendant accepté par les deux Parties, dans les locaux du Prestataire et pendant les heures ouvrables, sans entraver l'exploitation. Le Prestataire fournit, sur demande, les rapports d'audit ISO/IEC 27001, ISO/IEC 20000-1 ou SOC 2 Type II les plus récents en lieu et place d'un audit sur site, à la discrétion du Client. Les frais d'audit sont à la charge du Client, sauf si l'audit révèle un manquement substantiel du Prestataire, auquel cas ils sont à charge du Prestataire.
21.
PLAN DE CONTINUITÉ ET DE REPRISE D'ACTIVITÉ (BCP/DRP)
Le Prestataire maintient et applique un Plan de Continuité d'Activité (BCP) et un Plan de Reprise d'Activité (DRP) garantissant les objectifs suivants :
• RTO (Recovery Time Objective) : ≤ 4 heures — délai maximal de remise en service après sinistre majeur ;
• RPO (Recovery Point Objective) : ≤ 1 heure(s) — perte de données maximale tolérée mesurée en temps précédant le sinistre.
Les sauvegardes sont chiffrées au repos (AES-256) et en transit (TLS 1.2+), répliquées sur au moins deux sites géographiquement distincts au sein de l'Espace économique européen. Le Prestataire procède à un test de basculement annuel documenté ; le rapport de test est communiqué au Client dans les 30 jours suivant l'exercice.
22.
ASSISTANCE À LA SORTIE — PROCÉDURE RENFORCÉE (90 JOURS)
À l'expiration ou à la résolution du Contrat Principal, le Prestataire s'engage à fournir au Client une assistance à la sortie d'une durée maximale de 90 jours calendaires comprenant :
a) la restitution complète des données du Client dans un format ouvert et exploitable (CSV, JSON, SQL dump ou format standard de l'industrie), accompagnée de la documentation des schémas ;
b) la documentation technique opérationnelle complète (architecture, configurations, runbooks, dépendances) ;
c) jusqu'à 40 heures de transfert de connaissances au prestataire repreneur désigné par le Client, par sessions techniques planifiées ;
d) le maintien en service du périmètre actuel pendant la phase de transition ;
e) la destruction certifiée des données du Client à l'issue de la transition, attestée par écrit signé par un dirigeant du Prestataire (art. 32 RGPD si applicable).
Cette assistance est fournie aux conditions tarifaires en vigueur du Prestataire ; aucune surfacturation forfaitaire pour départ ne peut être appliquée (CDE art. VI.91/4 — clauses abusives B2B).
23.
DATA ACT — CHANGEMENT DE SERVICE DE TRAITEMENT DE DONNÉES
Conformément au Règlement (UE) 2023/2854 (Data Act), pleinement applicable depuis le 12 septembre 2025, le Prestataire garantit, pour les services de traitement de données couverts (hébergement, SaaS, cloud), le droit du Client de changer de fournisseur ou de migrer vers sa propre infrastructure, sans entraves injustifiées. À cet effet :
a) le Prestataire engage le changement après un préavis maximal de deux (2) mois et l'achève dans une période transitoire maximale de trente (30) jours calendaires, sauf prolongation techniquement justifiée ;
b) il transfère les données exportables et les actifs numériques du Client dans un format ouvert, structuré, couramment utilisé et lisible par machine ;
c) il fournit les informations raisonnables sur les structures et formats nécessaires pour atteindre l'équivalence fonctionnelle et coopère de bonne foi avec le fournisseur repreneur ;
d) il supprime progressivement les frais de changement : ceux-ci ne peuvent excéder les coûts réellement encourus et seront totalement supprimés à compter du 12 janvier 2027 (article 29 du Data Act).
La présente clause complète l'assistance à la sortie prévue au présent SLA et prévaut sur celle-ci pour les aspects impérativement régis par le Data Act.
24.
SOUS-TRAITANTS ET PROTECTION DES DONNÉES (RGPD)
Lorsque l'exécution du SLA implique le traitement de données à caractère personnel pour le compte du Client, le Prestataire agit en qualité de sous-traitant au sens de l'article 28 du RGPD (UE 2016/679), dans le cadre d'un accord de traitement séparé (DPA). Le Prestataire tient à jour la liste de ses sous-traitants ultérieurs et notifie au Client tout changement avec un préavis raisonnable, ouvrant un droit d'objection motivé.
Toute violation de données à caractère personnel détectée par le Prestataire est notifiée au Client sans retard injustifié et au plus tard 24 heures après la prise de connaissance, conformément à l'article 33 RGPD, accompagnée des informations nécessaires pour permettre au Client de remplir ses propres obligations de notification à l'Autorité de protection des données belge (APD/GBA).
25.
DORA — SERVICES TIC POUR LE SECTEUR FINANCIER
Lorsque le Client est une entité financière au sens du Règlement (UE) 2022/2554 (DORA), applicable depuis le 17 janvier 2025, et que les services couverts soutiennent une fonction critique ou importante, le présent SLA complète les stipulations contractuelles exigées par l'article 30 DORA :
a) une description complète et précise de l'ensemble des fonctions et services TIC, en indiquant si la sous-traitance d'une fonction critique ou importante est autorisée ;
b) les pays et régions où les services sont fournis et où les données sont traitées ou stockées, ainsi que l'obligation de notifier préalablement toute modification envisagée ;
c) des dispositions sur la disponibilité, l'authenticité, l'intégrité et la confidentialité des données, ainsi que la garantie d'accès, de récupération et de restitution des données en cas de cessation ;
d) des descriptions complètes des niveaux de service assorties d'objectifs de performance quantitatifs et qualitatifs chiffrés (articles 4 et 5 et matrice SLO), de délais de préavis et d'obligations de reporting ;
e) le droit du Client, de l'autorité de surveillance compétente et des personnes qu'ils désignent de contrôler, d'inspecter et d'accéder pleinement au Prestataire, ainsi que la coopération à la stratégie de sortie du Client.
Le Prestataire coopère à l'inscription du présent contrat dans le registre d'informations tenu par le Client (article 28, paragraphe 3, DORA).
EN FOI DE QUOI, les parties ont signé le présent document à la date indiquée.
Marc Lambert
Directeur des Opérations
Date : ____________________
Date : ____________________