Quelle est la différence entre un contrat SaaS et une licence logicielle classique en Belgique ?

La licence logicielle on-premise, régie par le CDE Livre XI articles XI.294 et suivants, transfère un droit d'usage durable sur un programme installé localement chez le client, généralement contre un prix unique. Le contrat SaaS belge, lui, ouvre un droit d'accès périodique à une solution hébergée par le fournisseur, accessible par Internet, contre une redevance d'abonnement récurrente. Le SaaS intègre nativement des engagements de service (SLA), un accord de traitement des données (DPA) et un plan de réversibilité — ce qui en fait juridiquement un contrat de prestation de services à exécution successive, et non un contrat de vente ni de licence.

Comment encadrer les transferts de données vers les États-Unis dans un contrat SaaS belge ?

Depuis l'arrêt Schrems II et l'adoption du EU-U.S. Data Privacy Framework (DPF) en juillet 2023, deux mécanismes sont disponibles en Belgique. Si le sous-processeur américain est certifié DPF (vérifiable sur dataprivacyframework.gov), le transfert est encadré par cette décision d'adéquation. À défaut, il faut recourir aux Clauses contractuelles types de la Décision (UE) 2021/914 accompagnées d'une Transfer Impact Assessment (TIA). Le contrat SaaS belge doit identifier explicitement le mécanisme retenu pour chaque sous-processeur hors EEE, et la liste des sous-processeurs doit être annexée au DPA conformément à l'article 28(2) RGPD.

Quel est le délai minimal de réversibilité (export des données) en fin de contrat SaaS en Belgique ?

Le RGPD article 20 garantit la portabilité des données personnelles dans un format structuré, couramment utilisé et lisible par machine. Aucune durée minimale légale n'est imposée pour la réversibilité globale, mais la pratique professionnelle belge — désormais renforcée par le Data Act 2025 — est de prévoir une période d'exit de 90 jours après la fin du contrat, pendant laquelle le client peut exporter ses données en CSV, JSON, SQL dump ou via API. Une période plus courte risque d'être qualifiée de clause abusive au sens de la Loi belge du 4 avril 2019 (CDE art. VI.91/3 à VI.91/6), notamment si la migration vers une solution alternative en est techniquement impossible.

Comment encadrer l'indexation annuelle des tarifs SaaS en Belgique ?

En Belgique, l'indexation annuelle des tarifs SaaS est habituellement adossée à l'indice santé belge (publié mensuellement par Statbel), avec un plafond contractuel — 5% par année est un standard du marché belge en 2026. Toute hausse au-delà de ce plafond doit ouvrir au client un droit de résiliation sans pénalité dans les 30 jours suivant la notification. À défaut de telle clause d'opt-out, l'indexation excessive peut être qualifiée de déséquilibre significatif au sens de la Loi du 4 avril 2019 sur les clauses abusives B2B en Belgique.

Quelles sont les limites légales de la reconduction tacite dans un contrat SaaS B2B en Belgique ?

En B2B, la reconduction tacite est licite en droit belge — contrairement au B2C où elle est strictement encadrée. Toutefois, la Loi du 4 avril 2019 sur les clauses abusives entre entreprises (CDE art. VI.91/3 à VI.91/6) impose au fournisseur d'informer expressément le client par écrit, au moins 3 mois avant l'échéance, de la date de reconduction et des modalités de dénonciation. Le préavis de dénonciation doit rester raisonnable (1 à 3 mois est standard en Belgique ; 6 mois est généralement le maximum admissible avant qualification de clause abusive par le Tribunal de l'entreprise).

NIS2 s'applique-t-elle à mon fournisseur SaaS en Belgique ?

La Directive (UE) 2022/2555 (NIS2), transposée en droit belge par la Loi du 26 avril 2024, s'applique aux fournisseurs SaaS qualifiés d'entité essentielle ou importante : fournisseurs cloud (IaaS, PaaS, SaaS d'infrastructure), datacenters, services managés, marketplaces B2B, services DNS, registres TLD, plateformes de réseaux sociaux, et plus généralement les fournisseurs de services numériques au-dessus de certains seuils de taille. En cas d'application, le fournisseur doit notifier au Centre pour la cybersécurité Belgique (CCB) tout incident significatif (alerte précoce 24h, notification 72h, rapport final 1 mois), et informer le client sans délai indu. Vérifiez la qualification de votre fournisseur — c'est désormais un critère de sélection majeur pour les déploiements SaaS critiques en Belgique.

Juridique & CommercialBE

Modèle gratuit de Contrat SaaS (Software as a Service) pour la Belgique

Un contrat d'abonnement SaaS B2B prêt à l'emploi pour fournisseurs cloud, éditeurs de logiciels et entreprises clientes en Belgique. Choisissez vos modalités, activez les clauses Expert (DPA RGPD, SLA garanti, plan de continuité, escrow) et téléchargez un PDF professionnel conforme au droit belge en quelques minutes.

Créer votre Contrat SaaS (Software as a Service)

Utilisation gratuitePDF instantanéAucun compte requis

CONTRAT SAAS (SOFTWARE AS A SERVICE)

Ncciv Livre 5 · CDE Livre XI · RGPD · Directive (UE) 2019/770 · Belgique · Effet : 15/05/2026 · Solution : Prosales CRM

FOURNISSEUR SAAS

Cloud CRM Brussels SRL (SRL)

Avenue Louise 222, bte 8, 1050 Bruxelles · N° BCE : 0789.123.456 · TVA : BE 0789.123.456 · Tél. : +32 2 808 12 34 · E-mail : pierre.vandenberg@cloud-crm.be · Représenté par : Pierre Vandenberg, CEO

Par : Pierre Vandenberg, CEO

CLIENT

Distri Vlaanderen BV (BV)

Korenmarkt 12, 9000 Gent · N° BCE : 0654.321.987 · TVA : BE 0654.321.987 · Secteur : Distribution alimentaire B2B · Contact technique : Tom De Bruyn — IT Manager · Contact administratif : comptabilite@distri-vlaanderen.be · Représenté par : Sofie Janssens, Directrice générale

Par : Sofie Janssens, Directrice générale

Solution : ProSales CRM · Plan Pro

Durée initiale : 12 mois · Reconduction tacite

ENTRE LES SOUSSIGNÉS :

Cloud CRM Brussels SRL, SRL, dont le siège est établi à Avenue Louise 222, bte 8, 1050 Bruxelles, inscrite à la BCE sous le numéro 0789.123.456, TVA BE 0789.123.456, représentée par Pierre Vandenberg, CEO, ci-après désignée le « Fournisseur »,

ET

Distri Vlaanderen BV, BV, dont le siège est établi à Korenmarkt 12, 9000 Gent, inscrite à la BCE sous le numéro 0654.321.987, TVA BE 0654.321.987, représentée par Sofie Janssens, Directrice générale, ci-après désignée le « Client »,

Ci-après désignées collectivement les « Parties »,

PRÉAMBULE : Le Fournisseur exploite la solution logicielle ProSales CRM (modules : CRM, Marketing Automation, Reporting BI), accessible en mode SaaS (Software as a Service) via une interface web hébergée à Union européenne (datacenter : Frankfurt (AWS eu-central-1)). Le Client souhaite souscrire à un droit d'accès à cette solution dans les conditions ci-après définies. Les Parties ont convenu ce qui suit, dans le cadre du Nouveau Code civil belge (Livre 5), du Code de droit économique (Livre XI), du Règlement (UE) 2016/679 (RGPD) et de la Directive (UE) 2019/770 transposée en droit belge.

OBJET

Le présent contrat a pour objet la mise à disposition par le Fournisseur, au profit du Client, d'un droit d'accès non exclusif, non cessible et limité à la solution ProSales CRM (ci-après le « Service »), exploitée en mode SaaS et accessible via Internet. Le Service est fourni « tel quel », selon le plan d'abonnement souscrit, en contrepartie du paiement des redevances prévues à l'article relatif au prix. Le présent contrat ne constitue ni une licence d'utilisation au sens de l'art. XI.294 CDE (programmes d'ordinateur), ni une cession de droits intellectuels.

DÉFINITIONS

Aux fins du présent contrat :
SaaS (Software as a Service) : modèle de fourniture logicielle dans lequel l'application est hébergée par le Fournisseur sur ses propres infrastructures (ou celles d'un sous-traitant) et mise à disposition du Client via Internet, sans installation locale ;
Service : la solution logicielle ProSales CRM et l'ensemble des fonctionnalités, modules et services associés effectivement souscrits par le Client ;
Données du Client : toutes données, informations, documents ou contenus, en ce compris les données à caractère personnel au sens de l'art. 4(1) RGPD, que le Client traite, héberge, télécharge ou génère via le Service ;
Période d'abonnement : la durée initiale stipulée à l'article relatif à la durée, ainsi que toute période de reconduction ;
Utilisateur : toute personne physique autorisée par le Client à accéder au Service, dans la limite du nombre de sièges souscrits.

ACCÈS AU SERVICE AND COMPTE UTILISATEUR

À compter de la date d'effet du présent contrat, le Fournisseur ouvre au Client un compte d'administration permettant la création et la gestion des comptes Utilisateurs, dans la limite du nombre de sièges souscrits (25 sièges).

Le Client est seul responsable :
a) de la conservation, de la confidentialité et de l'usage des identifiants et mots de passe ;
b) de toute action effectuée via les comptes Utilisateurs qui lui sont attribués ;
c) du respect par ses Utilisateurs des conditions d'utilisation du Service ;
d) de la véracité des informations communiquées lors de la création des comptes.

Le Fournisseur peut suspendre, sans préavis et après notification au Client, tout compte Utilisateur en cas d'usage manifestement contraire au présent contrat ou de menace pour la sécurité du Service.

PLANS AND LIMITES D'USAGE

Le Client souscrit au plan Pro pour 25 sièges Utilisateurs et 50000 transactions/mois. Le détail des fonctionnalités incluses dans le plan, ainsi que les limites quantitatives (volumes de stockage, requêtes API, transactions, intégrations), figure sur la page tarifaire en vigueur du Fournisseur ou en annexe au présent contrat.

En cas de dépassement durable d'une limite quantitative, le Fournisseur en informe le Client par écrit. À défaut de régularisation dans un délai de quinze (15) jours (passage à un plan supérieur ou réduction de l'usage), le Fournisseur peut facturer la consommation en sus selon le tarif unitaire en vigueur.

TARIFICATION AND PAIEMENT

En contrepartie de l'accès au Service, le Client s'engage à verser au Fournisseur une redevance mensuelle d'un montant unitaire de 49,00 EUR par siège, hors TVA.

Les redevances sont facturées d'avance pour chaque période. Les factures sont payables à trente (30) jours date de facture, conformément à la Loi du 2 août 2002 concernant la lutte contre le retard de paiement dans les transactions commerciales. À défaut de paiement à l'échéance, des intérêts de retard au taux légal commercial (Art. 5 Loi 02/08/2002), ainsi qu'une indemnité forfaitaire de 40,00 EUR pour frais de recouvrement, sont dus de plein droit et sans mise en demeure.

Indexation : Les tarifs sont indexés annuellement à la date anniversaire du contrat, dans la limite de l'évolution de l'indice santé belge (Statbel), avec un plafond de 5 % par année. Toute hausse au-delà de ce plafond ouvre au Client un droit de résiliation sans pénalité, à exercer par écrit dans les trente (30) jours suivant la notification.

En cas de défaut de paiement persistant supérieur à trente (30) jours après mise en demeure, le Fournisseur peut suspendre l'accès au Service jusqu'à régularisation, sans que cette suspension ne décharge le Client de son obligation de paiement.

DURÉE INITIALE AND RECONDUCTION

Le présent contrat est conclu pour une durée initiale de 12 mois à compter du 15/05/2026.

À l'issue de la période initiale, le contrat est reconduit tacitement pour des périodes successives de douze (12) mois, sauf dénonciation par l'une des Parties notifiée par écrit (lettre recommandée ou e-mail avec accusé de réception) au moins 3 mois avant l'échéance. Conformément à la Loi du 4 avril 2019 relative aux clauses abusives entre entreprises (CDE art. VI.91/3 à VI.91/6), le Fournisseur s'engage à informer le Client par écrit de l'échéance et des modalités de dénonciation au moins trois (3) mois avant celle-ci.

NIVEAUX DE SERVICE (SLA)

Le Fournisseur s'engage à fournir le Service dans des conditions raisonnables de disponibilité, de performance et de support technique, en s'efforçant d'assurer une continuité de service 24/7, hors fenêtres de maintenance planifiée.

Support technique souscrit : business (heures ouvrables BE, FR/NL).

Les fenêtres de maintenance planifiée sont annoncées au moins quarante-huit (48) heures à l'avance par e-mail ou via le tableau de bord du Service. Les indisponibilités résultant d'une force majeure (art. 5.226 NCCiv), d'un incident chez un fournisseur d'infrastructure tiers, d'une attaque DDoS ou d'une action du Client lui-même n'entrent pas dans le calcul de la disponibilité.

DONNÉES DU CLIENT

Les Données du Client demeurent la propriété exclusive du Client. Le Fournisseur n'acquiert aucun droit de propriété intellectuelle sur celles-ci et s'interdit de les utiliser à toute autre fin que l'exécution du présent contrat.

Le Client garantit qu'il dispose de l'ensemble des droits, autorisations et bases légales nécessaires pour héberger et traiter les Données du Client via le Service, et qu'il respecte la législation applicable (RGPD, Loi du 30/07/2018 LCV, droit d'auteur, secret professionnel, etc.).

Le Fournisseur conserve les Données du Client pendant toute la durée du contrat. Au terme de celui-ci, les modalités de restitution et d'effacement sont régies par l'article relatif à la réversibilité.

PROTECTION DES DONNÉES PERSONNELLES — RGPD

Dans l'hypothèse où le Service traiterait des données à caractère personnel pour le compte du Client, le Client agit en qualité de responsable du traitement au sens de l'art. 4(7) RGPD et le Fournisseur en qualité de sous-traitant au sens de l'art. 4(8) RGPD.

Conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD), ce traitement est encadré par un Accord de traitement des données (Data Processing Agreement, ci-après « DPA ») annexé au présent contrat, qui en fait partie intégrante.

Le Fournisseur s'engage à : (a) ne traiter les données que sur instruction documentée du Client ; (b) garantir la confidentialité de son personnel ; (c) prendre les mesures techniques et organisationnelles appropriées (art. 32 RGPD) ; (d) assister le Client dans l'exercice des droits des personnes concernées (art. 12 à 22 RGPD) et dans ses obligations de notification de violation (art. 33-34 RGPD) ; (e) supprimer ou restituer les données personnelles à la fin du contrat ; (f) mettre à disposition toutes les informations nécessaires pour démontrer la conformité.

10.

SÉCURITÉ DU SERVICE

Conformément à l'article 32 RGPD, le Fournisseur met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, et notamment :
a) chiffrement des données en transit (TLS 1.2 minimum) et au repos (AES-256 ou équivalent) ;
b) authentification forte avec possibilité d'activation de l'authentification multifacteur (MFA) ;
c) sauvegardes régulières avec restauration testée ;
d) cloisonnement logique des Données du Client ;
e) journalisation des accès administrateurs ;
f) procédure de gestion des incidents de sécurité avec notification au Client dans un délai utile, et au plus tard dans les 72 heures en cas de violation de données à caractère personnel (art. 33 RGPD).

Le Fournisseur s'engage à corriger sans délai indu les vulnérabilités de sécurité critiques identifiées dans le Service.

11.

PROPRIÉTÉ INTELLECTUELLE

Le Fournisseur demeure seul propriétaire de l'ensemble des droits de propriété intellectuelle relatifs à la solution logicielle (programmes d'ordinateur protégés au titre de l'art. XI.294 et s. CDE), à son code source, à sa documentation, à ses interfaces, à sa charte graphique, à ses bases de données (art. XI.305 et s. CDE) et à toutes améliorations, évolutions ou contributions qui y seraient apportées, en ce compris celles inspirées des retours du Client.

Le présent contrat ne confère au Client qu'un droit d'usage non exclusif, non cessible et limité à la durée du contrat, dans les conditions du plan souscrit. Toute reproduction, décompilation, ingénierie inverse, mise à disposition à des tiers ou utilisation au-delà du périmètre autorisé est strictement interdite, sous réserve des exceptions impératives prévues à l'art. XI.300 CDE (interopérabilité).

12.

CONFIDENTIALITÉ

Chaque Partie s'engage à conserver strictement confidentielles toutes informations non publiques relatives à l'autre Partie dont elle aurait connaissance dans le cadre du présent contrat, et notamment les informations techniques, commerciales, financières et personnelles. Cette obligation s'applique pendant toute la durée du contrat et pendant une durée de cinq (5) ans après son expiration. Le Fournisseur s'engage à imposer la même obligation à son personnel et à ses sous-traitants. La violation de cette obligation peut donner lieu à indemnisation, sans préjudice de la protection accordée par la Loi du 30 juillet 2018 relative aux secrets d'affaires.

13.

LIMITATION DE RESPONSABILITÉ

Sauf en cas de dol, de faute lourde ou d'atteinte aux dispositions impératives applicables (notamment la Loi du 4 avril 2019 sur les clauses abusives B2B — CDE art. VI.91/3 à VI.91/6 — et le RGPD), la responsabilité totale du Fournisseur, toutes causes confondues et tous préjudices cumulés, est limitée par sinistre et par année civile au montant des redevances effectivement payées par le Client au titre des douze (12) mois précédant le fait générateur du dommage.

Le Fournisseur ne répond en aucun cas des dommages indirects, immatériels ou consécutifs, tels que perte de chiffre d'affaires, perte de clientèle, perte d'image, perte de données (au-delà de la dernière sauvegarde restaurée) ou interruption d'activité, sauf disposition légale impérative contraire.

Cette clause est rédigée conformément aux exigences de l'art. VI.91/3 CDE et est expressément négociée entre Parties professionnelles avisées.

14.

FORCE MAJEURE

Conformément à l'article 5.226 du NCCiv, aucune des Parties ne pourra être tenue responsable de l'inexécution de ses obligations résultant d'un événement de force majeure, c'est-à-dire un événement imprévisible, irrésistible et extérieur, en ce compris : catastrophes naturelles, attentats, conflits armés, pandémies, décisions des autorités publiques, défaillance majeure d'un opérateur télécom ou d'une infrastructure tierce critique. La Partie empêchée notifie l'événement à l'autre Partie dans les meilleurs délais. Si l'empêchement persiste plus de soixante (60) jours consécutifs, chaque Partie pourra résilier le contrat sans indemnité par notification écrite.

15.

SUSPENSION AND RÉSILIATION

Outre les cas de résiliation propres à chaque clause, chaque Partie peut résilier le contrat de plein droit, par lettre recommandée, en cas de manquement grave de l'autre Partie à ses obligations, non régularisé dans un délai de trente (30) jours après mise en demeure restée infructueuse, conformément à l'art. 5.86 NCCiv.

Le Fournisseur peut en outre suspendre l'accès au Service en cas : (a) de défaut de paiement persistant ; (b) d'usage manifestement contraire au contrat ou portant atteinte à la sécurité ou à l'intégrité du Service ; (c) d'injonction d'une autorité compétente. La suspension n'emporte ni résiliation ni dispense de paiement des redevances dues.

16.

RÉVERSIBILITÉ AND EXPORT DES DONNÉES

À tout moment pendant la durée du contrat et pendant une période de quatre-vingt-dix (90) jours suivant son terme (« période de réversibilité »), le Client peut exporter les Données du Client dans un format structuré, couramment utilisé et lisible par machine (format souscrit : csv-json), conformément aux principes de portabilité (art. 20 RGPD pour les données personnelles). Au terme de la période de réversibilité, le Fournisseur supprimera de manière irréversible l'ensemble des Données du Client, sauf obligation légale de conservation et sauf demande expresse contraire du Client formulée par écrit.

Exit assistance : Sur demande du Client, le Fournisseur fournit une assistance à la migration vers une solution alternative, dans la limite définie en annexe (jours-homme convenus, support technique de 8h × 5 jours/semaine pendant la période de réversibilité).

17.

LOI APPLICABLE AND JURIDICTION

Le présent contrat est exclusivement soumis au droit belge, à l'exclusion de toute règle de conflit de lois. Tout litige relatif à sa formation, son interprétation, son exécution ou sa résiliation sera soumis, à défaut de règlement amiable préalable, à la compétence exclusive du Tribunal de l'entreprise de Bruxelles, conformément au Code judiciaire belge.

18.

NIVEAU DE SERVICE GARANTI (SLA) AND SERVICE CREDITS

Le Fournisseur garantit contractuellement un taux de disponibilité mensuel du Service au moins égal à 99.9 %, calculé sur la base du temps réel d'indisponibilité, hors maintenances planifiées et hors cas de force majeure.

Service credits : En cas de non-respect du taux garanti sur un mois civil, le Client bénéficie d'un crédit imputé sur la facture suivante, selon le barème suivant :
· entre 99.9 % et 99,0 % : 5 % du montant mensuel ;
· entre 99,0 % et 95,0 % : 15 % du montant mensuel ;
· en deçà de 95,0 % : 30 % du montant mensuel.

Les service credits constituent le seul recours du Client en cas de non-atteinte du SLA, sauf manquement grave au sens de l'art. 5.86 NCCiv ouvrant droit à résiliation aux torts exclusifs du Fournisseur.

19.

ACCORD DE TRAITEMENT DES DONNÉES (DPA) — ANNEXÉ

Un Accord de traitement des données (Data Processing Agreement) conforme à l'article 28 du RGPD est annexé au présent contrat et en constitue une partie intégrante. Le DPA précise notamment : (a) l'objet, la durée, la nature et la finalité du traitement ; (b) le type de données traitées et les catégories de personnes concernées ; (c) les obligations et droits du responsable du traitement ; (d) la liste exhaustive des sous-processeurs autorisés ; (e) les mesures techniques et organisationnelles de sécurité (art. 32 RGPD) ; (f) les conditions de retour ou de destruction des données en fin de contrat.

Sous-processeurs initiaux autorisés : AWS Frankfurt (hébergement infrastructure), SendGrid Inc. (e-mails transactionnels — US-DPF), Stripe Payments Europe (encaissement abonnements — IE).
Toute modification de la liste des sous-processeurs fait l'objet d'une notification écrite préalable au Client, qui dispose d'un droit d'objection motivé dans un délai de trente (30) jours.

Transferts internationaux : Les éventuels transferts vers les États-Unis sont encadrés par le cadre EU-U.S. Data Privacy Framework (DPF), certification du sous-processeur concerné disponible sur dataprivacyframework.gov.

20.

AUDIT DE SÉCURITÉ ANNUEL

Le Fournisseur fait l'objet, au moins une fois par an, d'un audit indépendant attestant du respect des standards de sécurité reconnus, notamment iso27001. Le Fournisseur tient à disposition du Client, sur demande écrite et sous engagement de confidentialité, le rapport d'audit ou son résumé exécutif, ainsi que les éventuels plans de remédiation.

Le Client peut, à ses frais et avec un préavis raisonnable d'au moins trente (30) jours, mandater un auditeur tiers indépendant pour vérifier le respect par le Fournisseur de ses obligations de sécurité et de protection des données, dans le respect de la confidentialité des autres clients du Fournisseur. Une telle vérification ne peut intervenir plus d'une fois par année civile, sauf incident majeur ou demande expresse d'une autorité de contrôle.

21.

PLAN DE CONTINUITÉ DU SERVICE — FAILLITE AND ABANDON

Le Fournisseur déclare disposer d'un plan de continuité d'activité (PCA) et d'un plan de reprise après sinistre (PRA) testés annuellement, garantissant les objectifs suivants : RPO 4 heures / RTO 8 heures.

Faillite, cessation d'activité ou abandon du Service : En cas d'ouverture d'une procédure d'insolvabilité, de réorganisation judiciaire, de dissolution, de cessation d'activité ou d'annonce de retrait du marché de la solution, le Fournisseur s'engage à : (a) en informer immédiatement le Client par écrit ; (b) maintenir le Service en exploitation pendant au moins quatre-vingt-dix (90) jours pour permettre la migration ; (c) coopérer activement à l'orchestration de la sortie, en ce compris la fourniture des Données du Client et de toute documentation utile à leur exploitation par un tiers.

22.

ESCROW DU CODE SOURCE

Le Fournisseur dépose une copie à jour du code source de la solution, ainsi que la documentation technique d'exploitation, auprès d'un tiers de confiance (escrow agent) — par exemple NCC Group, ou un agent désigné par accord des Parties. La libération du dépôt au profit du Client peut être déclenchée en cas : (a) de faillite du Fournisseur ; (b) d'arrêt définitif de l'exploitation du Service annoncé par le Fournisseur sans solution de reprise ; (c) de manquement grave et persistant du Fournisseur à ses obligations contractuelles, dûment constaté.

La libération du dépôt confère au Client un droit d'usage interne du code aux seules fins de la continuité de l'exploitation des Données du Client, à l'exclusion de toute commercialisation. Les frais d'escrow sont supportés par le Fournisseur.

23.

CHANGE MANAGEMENT — MODIFICATIONS FONCTIONNELLES

Toute modification fonctionnelle substantielle du Service (suppression d'une fonctionnalité, modification rétro-incompatible d'API, retrait d'un module, modification des limites quantitatives du plan) est notifiée au Client par écrit avec un préavis minimum de 60 jours.

Si la modification entraîne une dégradation matérielle de l'usage du Service par le Client, ce dernier dispose d'un droit de résiliation unilatérale du contrat sans pénalité, à exercer par écrit dans les trente (30) jours suivant la notification, avec effet à la date de mise en œuvre de la modification.

Les corrections de bugs, mises à jour de sécurité et améliorations purement additives ne sont pas considérées comme des modifications substantielles au sens du présent article.

24.

ASSURANCE CYBER AND RC PROFESSIONNELLE

Le Fournisseur déclare avoir souscrit et s'engage à maintenir, pendant toute la durée du contrat, une police d'assurance « responsabilité civile professionnelle » et une police « cyber-risques » couvrant notamment : (a) sa responsabilité au titre des manquements à la sécurité des données ; (b) les frais de notification d'une violation de données personnelles ; (c) les frais d'expertise forensique ; (d) les éventuelles sanctions administratives non couvertes par une exclusion légale ; (e) la perte d'exploitation du Client résultant d'une indisponibilité majeure imputable. Le Fournisseur fournit, sur demande écrite du Client, l'attestation d'assurance en cours de validité.

EN FOI DE QUOI, les parties ont signé le présent document à la date indiquée.

FOURNISSEUR SAAS

Pierre Vandenberg

CEO

Date : ____________________

CLIENT

Sofie Janssens

Directrice générale

Date : ____________________

Qu'est-ce qu'un contrat SaaS en Belgique ?

Un contrat SaaS — pour Software as a Service — encadre la mise à disposition d'une solution logicielle hébergée par le fournisseur sur ses propres infrastructures (ou celles d'un sous-traitant cloud) et accessible au client par Internet, sans installation locale. En Belgique, ce modèle a remplacé la licence on-premise classique pour la grande majorité des outils professionnels (CRM, ERP, comptabilité, RH, marketing). Le contrat ne constitue ni une vente, ni une cession de droits intellectuels : il ouvre un droit d'accès limité, non exclusif et révocable, en contrepartie d'une redevance d'abonnement.

Le SaaS se distingue de la licence logicielle traditionnelle régie par le Code belge de droit économique (CDE) Livre XI, articles XI.294 et suivants. La licence on-premise transfère un droit d'usage durable sur un programme installé localement, généralement contre un prix unique ; le SaaS, lui, repose sur un abonnement périodique adossé à des engagements de niveau de service (SLA), à un accord de traitement des données (DPA) au sens de l'article 28 RGPD, et à un plan de réversibilité encadrant la sortie du client. Cette imbrication contrat-DPA-SLA est ce qui rend le contrat SaaS belge structurellement différent — et ce qui justifie un modèle dédié plutôt qu'un simple contrat de prestation de services.

En Belgique, le contrat SaaS B2B s'inscrit dans un cadre juridique exigeant : le Nouveau Code civil (NCC) Livre 5 sur les obligations (en vigueur depuis le 1er janvier 2023) gouverne la formation, l'inexécution et la résolution ; le Règlement (UE) 2016/679 (RGPD) impose un DPA dès qu'il y a traitement de données personnelles ; la Directive (UE) 2019/770 transposée en droit belge encadre la fourniture de contenus et services numériques ; la Loi du 4 avril 2019 sur les clauses abusives entre entreprises (CDE art. VI.91/3 à VI.91/6) interdit certains déséquilibres significatifs ; et la Directive (UE) 2022/2555 (NIS2) ajoute des obligations de cybersécurité pour les fournisseurs essentiels et importants. Un contrat SaaS belge bien rédigé articule ces couches plutôt que de les juxtaposer.

Ce que contient ce modèle

Le modèle de contrat SaaS belge de Doxuno réunit dix-sept articles couvrant l'ensemble du cycle de vie de l'abonnement, ainsi qu'une section Expert avec huit clauses avancées (DPA, SLA garanti, audit, escrow, change management, NIS2) pour les déploiements critiques en Belgique.

Objet et accès au Service

Droit d'accès non exclusif, non cessible, limité au plan souscrit en Belgique

Plans, sièges et limites d'usage

Volumes utilisateurs, transactions, stockage, API — gestion du dépassement

Tarification & retards de paiement

Loi du 2 août 2002 — intérêts légaux + indemnité forfaitaire 40 EUR

Indexation annuelle des tarifs

Indice santé belge (Statbel) plafonné à 5%, droit de résiliation au-delà

Durée initiale & reconduction tacite

Information préavis CDE art. VI.91/3 — clauses abusives B2B

Niveaux de service (SLA)

Disponibilité 24/7, fenêtres de maintenance, exclusions force majeure

Données du Client

Propriété exclusive du Client, aucun droit acquis par le Fournisseur

RGPD & accord de traitement (DPA)

Article 28 RGPD — sanction APD jusqu'à 10M EUR ou 2% CA mondial

Sécurité du Service (art. 32 RGPD)

Chiffrement TLS/AES-256, MFA, notification 72h en cas de violation

Réversibilité & exit data export

Période 90 jours, formats CSV/JSON/SQL, art. 20 RGPD portabilité

Loi applicable & Tribunal de l'entreprise

Droit belge exclusif, juridiction du Tribunal de l'entreprise compétent

Clauses Expert : DPA annexé, SLA garanti, NIS2

Service credits, audit ISO 27001, escrow code, plan de continuité

Comment créer votre contrat SaaS en Belgique

Aucune connaissance juridique préalable n'est requise. Le modèle Doxuno vous guide section par section, en activant ou non les clauses Expert selon la criticité de votre déploiement SaaS en Belgique.

1
Identifiez le fournisseur SaaS et le client
Renseignez la dénomination sociale exacte, la forme juridique (SRL, SA, BV, NV…), le siège social, le numéro BCE (Banque-Carrefour des Entreprises) et le numéro de TVA intracommunautaire (BE 0xxx.xxx.xxx) des deux parties. Indiquez le pays d'hébergement principal et la localisation du datacenter — paramètres clés pour la conformité RGPD.
2
Définissez la solution, le plan et la tarification
Précisez le nom commercial de la solution, les modules souscrits, le plan d'abonnement (Starter, Pro, Enterprise, Custom), le nombre de sièges utilisateurs, le volume de transactions mensuelles, le prix unitaire en euros et le cycle de facturation (mensuel, annuel, biennal, triennal). Choisissez d'activer ou non l'indexation annuelle plafonnée à l'indice santé belge.
3
Fixez la durée initiale et le mode de reconduction
Sélectionnez une durée initiale de 12, 24 ou 36 mois. Optez pour une reconduction tacite avec préavis de 1 à 6 mois (la plus courante en Belgique, mais attention à l'obligation d'information préalable du CDE art. VI.91/3) ou pour une reconduction expresse exigeant un accord écrit. Définissez le niveau de support technique souscrit (community, business, premium, 24/7).
4
Activez les clauses Expert pour les déploiements critiques
Pour les déploiements RGPD-sensibles ou mission-critique en Belgique, activez les clauses avancées : DPA annexé conforme à l'article 28 RGPD avec liste de sous-processeurs et encadrement des transferts internationaux (US-DPF, SCC), SLA garanti contractuellement (99,5 à 99,99% d'uptime) avec service credits, audit annuel ISO 27001 ou SOC 2, plan de continuité avec RPO/RTO, escrow du code source, change management contradictoire, assurance cyber et obligations NIS2 le cas échéant.
5
Sélectionnez la juridiction et téléchargez
Indiquez le Tribunal de l'entreprise compétent (Bruxelles, Liège, Anvers, Gand, Mons, Namur, Charleroi…) en fonction du siège social du défendeur ou du lieu d'exécution. Vérifiez l'aperçu en direct, puis téléchargez votre contrat SaaS en PDF professionnel, prêt pour signature électronique (eIDAS) ou manuscrite par les deux parties en Belgique.

Considérations juridiques en Belgique

Un contrat SaaS belge bien structuré doit articuler quatre couches juridiques distinctes : droit commun des obligations (NCC), protection des données personnelles (RGPD), encadrement B2B des clauses abusives (CDE), et — depuis 2025 — droit européen des données (Data Act). Plusieurs points méritent attention avant la signature.

Ce modèle est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour les déploiements SaaS impliquant des données sensibles (santé, secteur public, services financiers), des transferts hors EEE complexes ou des engagements financiers importants en Belgique, consultez un avocat inscrit au barreau belge spécialisé en droit numérique et protection des données.

Contenu vérifié par des professionnels du droit belge spécialisés en contrats numériques. Les clauses RGPD, SLA et de réversibilité de ce modèle ont été passées en revue par des avocats belges pour garantir leur exactitude et leur conformité aux exigences pratiques des déploiements SaaS B2B en Belgique.

Nouveau Code civil belge 2023 — formation et inexécution du contrat SaaS

Depuis le 1er janvier 2023, le Nouveau Code civil belge (NCC) Livre 5 régit tous les nouveaux contrats SaaS conclus en Belgique. Trois articles sont particulièrement structurants : l'article 5.74 encadre la cession et la sous-traitance des obligations contractuelles ; l'article 5.86 régit la résolution pour inexécution grave, désormais possible par notification écrite sans intervention judiciaire préalable ; l'article 5.226 redéfinit la force majeure de manière plus restrictive que l'ancien Code. Pour les contrats SaaS conclus avant 2023, l'ancien régime continue de s'appliquer — il est donc recommandé de signer un avenant explicitement soumis au NCC à la prochaine reconduction pour bénéficier du régime renforcé devant les tribunaux belges.

RGPD article 28 — DPA obligatoire pour tout SaaS traitant des données personnelles

Dès que la solution SaaS héberge ou traite des données à caractère personnel pour le compte du client (ce qui est le cas de la quasi-totalité des CRM, ERP, RH, marketing automation, ticketing), le client agit comme responsable du traitement et le fournisseur comme sous-traitant au sens de l'article 4(8) RGPD. L'article 28 RGPD impose alors un Accord de traitement des données (DPA) écrit qui doit préciser l'objet, la durée, la nature, la finalité du traitement, les catégories de données, les obligations de sécurité (art. 32), la liste des sous-processeurs, les conditions d'audit et les modalités de fin de contrat. L'absence de DPA conforme expose le client à une sanction de l'Autorité de protection des données (APD/GBA) pouvant atteindre 10 millions d'euros ou 2% du chiffre d'affaires mondial annuel (art. 83.4 RGPD). Le DPA n'est pas un luxe : c'est une obligation légale belge dont la responsabilité finale incombe au client.

Transferts hors EEE — Schrems II, EU-U.S. Data Privacy Framework et SCC

La grande majorité des solutions SaaS reposent sur des sous-processeurs américains (AWS, Google Cloud, Microsoft Azure, SendGrid, Stripe, Mailchimp). Depuis l'arrêt Schrems II (CJUE C-311/18, 16 juillet 2020), tout transfert de données personnelles vers les États-Unis nécessite des garanties appropriées au sens du chapitre V RGPD (art. 44 à 49). Deux mécanismes principaux sont disponibles en Belgique : (a) le cadre EU-U.S. Data Privacy Framework (DPF) adopté en juillet 2023, applicable aux sous-processeurs américains certifiés ; (b) les Clauses contractuelles types de la Décision (UE) 2021/914, accompagnées d'une Transfer Impact Assessment (TIA). Le contrat SaaS belge doit identifier explicitement le mécanisme retenu pour chaque sous-processeur hors EEE, faute de quoi le client s'expose à la même sanction APD que pour l'absence de DPA.

Data Act 2025, portabilité et clauses abusives B2B

Le Règlement (UE) 2023/2854 sur les données (Data Act), pleinement applicable depuis le 12 septembre 2025, renforce considérablement les droits du client SaaS en Belgique : portabilité des données dans des formats structurés, gratuité progressive de la sortie (frais switching plafonnés puis interdits dès janvier 2027), interdiction des clauses de lock-in technique abusives. Combiné à la Loi belge du 4 avril 2019 sur les clauses abusives entre entreprises (CDE art. VI.91/3 à VI.91/6) qui interdit les déséquilibres significatifs, le cadre belge protège désormais le client SaaS contre les pratiques de verrouillage. Concrètement, un contrat SaaS belge conclu en 2026 doit prévoir une clause de réversibilité opérationnelle d'au moins 90 jours avec export en formats ouverts (CSV, JSON, SQL) — sans quoi l'article litigieux risque d'être réputé non écrit par le Tribunal de l'entreprise.

Questions fréquentes

Prêt à sécuriser votre déploiement SaaS en Belgique ?

Renseignez vos paramètres et obtenez en quelques minutes un contrat SaaS B2B professionnel et juridiquement solide selon le droit belge, avec DPA RGPD, SLA et plan de réversibilité. Gratuit, sans compte requis pour la version de base.

Créer votre Contrat SaaS (Software as a Service)Parcourir tous les modèles

Gratuit · PDF instantané · Aucun compte requis