Documents contractuels – Services SaaS & IT (CH) – B2B & B2C

Partie A – Conditions Générales (CG)

1. Champ d'application

Ces CG s'appliquent à tous les services du Fournisseur, en particulier (i) Software-as-a-Service basé sur le cloud ('SaaS') ainsi que (ii) services IT (support, maintenance, conseil, projets et services sur site). Des conditions divergentes du Client ne s'appliquent que si le Fournisseur accepte explicitement leur validité par écrit.

2. Conclusion du contrat

Un contrat est conclu par (a) inscription en ligne et activation d'un abonnement, (b) acceptation d'une offre, (c) commande écrite ou électronique (email suffit), ou (d) fourniture implicite de services. Le Fournisseur peut rejeter des commandes pour des raisons objectives (ex : abus, conformité).

3. Description des services

3.1 SaaS

Le Fournisseur met l'application SaaS handel-it Services à la disposition du Client pour utilisation via Internet. L'étendue spécifique des fonctions résulte de la description du service/plan (ex : 'Basic/Pro/Enterprise').

Ne sont pas dus, en particulier, les connexions Internet/réseau du Client, les terminaux, ainsi que les systèmes tiers hors de la sphère d'influence du Fournisseur.

3.2 Services

Les services sont généralement fournis en tant que contrat de service (obligation de moyens, pas de garantie de succès), sauf si un contrat d'entreprise (succès défini/réception) est expressément convenu.

4. Disponibilité, Maintenance & Modifications (SaaS)

Les valeurs cibles et les crédits de service sont régis dans le SLA. La maintenance planifiée sera annoncée à l'avance si possible ; les modifications critiques pour la sécurité peuvent avoir lieu à court terme.

5. Obligations de coopération du Client

Le Client est tenu de fournir en temps utile :

• des informations, données et interlocuteurs corrects,
• les accès/comptes/approbations nécessaires,
• communiquer les changements de systèmes, volumes, interfaces ou exigences de sécurité,
• respecter les exigences de sécurité (ex : MFA, mots de passe, rôles).

Les efforts supplémentaires et les retards résultant d'une coopération manquante/tardive sont à la charge du Client et sont soumis à rémunération selon les dépenses.

6. Prix, Facturation & Paiement

Les prix résultent de l'offre, de la liste de prix ou du paiement en ligne. Les abonnements SaaS sont facturés périodiquement à l'avance. Les services sont facturés selon les dépenses ou au forfait.

• Délai de paiement : 30 jours net (sauf convention contraire)
• Défaut : Intérêts moratoires selon le Code des obligations suisse ; le Fournisseur peut suspendre les services en cas de défaut important
• B2B : Pas de droit de rétention ou de compensation, dans la mesure permise par la loi
• B2C : Prix incl. TVA, le cas échéant ; les droits spéciaux des consommateurs restent inchangés

7. Droits d'utilisation & Propriété intellectuelle

7.1 Utilisation SaaS

Le Client reçoit un droit non exclusif, non transférable et limité dans le temps d'utiliser le SaaS dans la mesure du contrat. Aucun droit à la remise du code source.

7.2 Résultats de projet

Les composants préexistants, frameworks, outils, modèles et savoir-faire générique restent la propriété du Fournisseur. Les résultats spécifiques au client (ex : configurations, documentation, code spécifique au client) sont accordés au Client comme un simple droit d'utilisation pour usage interne, sauf convention contraire. Le Fournisseur peut réutiliser le savoir-faire, les méthodes et les parties non spécifiques au client.

8. Données, Protection des données & Sous-traitants cloud

Les données du Client restent la propriété du Client. Le Fournisseur traite les données personnelles en tant que sous-traitant, dans la mesure applicable. Les détails sont régis dans le DPA. L'hébergement peut avoir lieu via AWS et/ou Microsoft Azure (régions UE/CH).

9. Garantie

Le Fournisseur exploite le SaaS selon l'état de l'art, mais ne garantit pas une absence absolue d'erreurs. Les défauts doivent être signalés immédiatement.

• B2B : La garantie est exclue dans la mesure permise par la loi ; la priorité est donnée à la rectification.
• B2C : Les droits de garantie légaux obligatoires restent inchangés.

10. Responsabilité

Le Fournisseur est responsable des dommages directs typiques du contrat. La responsabilité pour les dommages indirects, les dommages consécutifs, le manque à gagner, l'interruption d'activité et les pertes purement financières est exclue, dans la mesure permise par la loi.

11. Durée & Résiliation

Les abonnements SaaS courent selon la période choisie (mensuelle/annuelle) et se renouvellent automatiquement sauf résiliation en temps utile. Délai de préavis : 30 jours pour la fin de la période (sauf convention contraire). Les conditions Enterprise sont régies dans l'Addendum Entreprise.

12. Blocage, Abus, Conformité

En cas d'abus, d'incidents de sécurité ou de violations légales, le Fournisseur peut bloquer temporairement l'accès dans la mesure nécessaire pour écarter le danger. Le Client doit être informé du blocage si possible.

13. Confidentialité

Les deux parties traitent les informations confidentielles comme confidentielles indéfiniment. Exceptions : généralement connu, légitimement reçu ou obligations légales de divulgation.

14. Modifications des CG

Le Fournisseur peut adapter les CG. Les modifications importantes seront annoncées. B2B : Objection dans les 30 jours, sinon les modifications sont réputées acceptées. B2C : Modifications uniquement pour des raisons objectives ; en cas de modification importante, il existe un droit spécial de résiliation.

15. Dispositions finales

Droit applicable : Suisse. For juridique : Canton de Zoug (B2C : fors obligatoires réservés). Si des dispositions individuelles devaient être invalides, le contrat reste effectif pour le reste (Clause de sauvegarde).

Partie B – SLA (Accord de niveau de service)

Annexe aux CG – s'applique sauf convention contractuelle contraire.

1. Définitions

• Disponibilité : Part du temps pendantlequel le SaaS est utilisable de manière productive (hors temps d'exclusion).
• Fenêtre de maintenance : fenêtres annoncées pour les mises à jour/maintenance.
• Crédits de service : Crédits sur les frais futurs (pas de paiement en espèces).

2. Disponibilité cible

3. Exclusions (non comptées)

• Fenêtres de maintenance planifiées
• Pannes dues à la force majeure
• Pannes/Incidents AWS ou Azure hors du contrôle du Fournisseur
• Faute du Client ou de tiers (réseau, fournisseur d'identité, mauvaise configuration)
• Abus, attaques, blocage pour écartement de danger

4. Heures de support

5. Priorités & Temps de réaction

6. Crédits de service

Maximum 20 % par mois de facturation. Les crédits de service sont le recours exclusif pour les violations de disponibilité, dans la mesure permise par la loi.

7. Coopération

Le Client fournit les informations nécessaires dans un délai raisonnable (pour P1 aussi immédiatement que possible). Les retards causés par un manque de coopération du client suspendent les délais SLA en conséquence.

Partie C – DPA (Accord de traitement des données)

RGPD + LPDrév – Annexe aux CG / Contrat principal

1. Parties & Rôles

Responsable : Client

Sous-traitant : handel gmbh, Grabenstrasse 15a, 6340 Zoug, Suisse

2. Objet, Durée, Instructions

L'objet est le traitement de données personnelles dans le cadre des services SaaS et IT. La durée correspond à la durée du contrat. Le Fournisseur traite les données exclusivement sur instruction documentée du Client, sauf obligation légale.

3. Nature et but du traitement

• Hébergement, exploitation et fourniture du SaaS
• Support, maintenance, analyse d'incidents
• Sauvegardes/Restauration selon la description du service
• Surveillance de sécurité/Journalisation (minimum requis)

4. Catégories de personnes concernées / Données

Selon l'utilisation : Employés, clients finaux, partenaires ; catégories de données selon les entrées client et données système (logs).

5. TOMs (Brève description)

Le Fournisseur met en œuvre des mesures techniques et organisationnelles appropriées, en particulier :

• Contrôle d'accès (RBAC), MFA si possible
• Chiffrement du transport (TLS), chiffrement des données au repos si disponible/configuré
• Gestion des correctifs et des vulnérabilités
• Sauvegardes, processus de récupération, surveillance
• Isolation des locataires selon l'architecture

6. Sous-traitants / Fournisseurs cloud

7. Transferts vers des pays tiers

Si des transferts hors CH/UE ont lieu exceptionnellement, cela se fait uniquement sur la base de garanties appropriées (ex : CCT, mesures supplémentaires), selon RGPD/LPDrév.

8. Assistance aux droits des personnes concernées

Le Fournisseur soutient le Client de manière appropriée pour l'accès, la rectification, l'effacement, la limitation et la portabilité, dans la mesure du possible au sein des systèmes.

9. Notification des violations de données

Le Fournisseur signale les violations de données pertinentes au Client immédiatement, au plus tard dans les 72 heures après en avoir pris connaissance (si les informations sont disponibles), et soutient l'analyse.

10. Suppression / Restitution après la fin du contrat

Après la fin du contrat : Export/restitution comme convenu ; ensuite suppression après un délai raisonnable, sauf obligations légales de conservation.

11. Audit & Preuve

B2B/Enterprise : Audit max. 1x par an, après préavis, pendant les heures de bureau, sans perturbation. Alternativement, certificats/attestations des fournisseurs cloud et preuves du Fournisseur peuvent être acceptés.

12. Responsabilité

La réglementation de responsabilité du contrat principal/CG s'applique, dans la mesure permise par la loi.

Partie D – Addendum Entreprise

S'applique uniquement si explicitement désigné et convenu comme 'Enterprise' dans le contrat.

1. Durée & Résiliation

• Durée minimale : 12–36 mois (selon contrat)
• Délai de préavis : 3–6 mois pour la fin de la période
• Renouvellement : annuel, sauf résiliation

2. SLA augmentés (optionnel)

Ajustement optionnel par contrat : Disponibilité cible 99,7–99,9 %, temps de réaction plus courts, support 24/7.

3. Options de responsabilité

Le plafond standard demeure, sauf convention contraire écrite. Optionnel : plafond plus élevé pour supplément / forfait de service supérieur / assurance.

4. Sécurité & Conformité

• Documentation de sécurité étendue (ex : politiques, aperçu de l'architecture, processus de réponse aux incidents)
• Droit d'audit tel que décrit dans le DPA, alternativement preuves (ex : attestations fournisseurs cloud)

5. Escrow (optionnel)

Escrow de code source uniquement pour les systèmes critiques et accord séparé (déclencheur : insolvabilité, cessation permanente de service).

6. Gestion du changement

Pour les ajustements spécifiques au client : Demandes de changement, estimation de l'effort, approbation, priorisation ; documentation dans l'outil de ticket/projet.

Partie E – Annexe Sécurité (TOM compactes)

1. Principes de base

• Moindre privilège / Contrôle d'accès basé sur les rôles (RBAC)
• Défense en profondeur
• Sécurité par défaut (si possible)
• Journalisation & Surveillance selon nécessité

2. Identité & Accès

• MFA pour les comptes admin
• Règles de mot de passe fort / SSO si convenu
• Processus de provisionnement/déprovisionnement

3. Cryptographie

• TLS pour les données en transit
• Chiffrement des données au repos, si disponible/activé (ex : Cloud KMS)
• Gestion des clés dans AWS/Azure (KMS/Key Vault) selon configuration

4. SDLC sécurisé

• Revues de code & Protection des branches
• Scans de dépendances/SCA (où implémenté)
• Gestion des vulnérabilités & Processus de correctifs

5. Opération, Journalisation, Surveillance

• Surveillance (Disponibilité, Performance, Taux d'erreur)
• Journalisation avec protection d'accès ; Rétention des logs selon politique/contrat
• Processus de réponse aux incidents incl. communication

6. Sauvegarde & Récupération

• Sauvegardes selon description du service
• Récupération sur base du meilleur effort, sauf RTO/RPO contractuellement assuré

7. Tests de pénétration (optionnel)

Pour Enterprise optionnel : tests de pénétration périodiques par des tiers par accord (portée, fenêtre de temps, règles).

8. Obligations du Client (Sécurité)

• Protection des identifiants, activer MFA, attribuer les rôles correctement
• Sécurité des appareils / Protection des terminaux
• Pas de tests de sécurité non autorisés sans approbation

Partie F – Modèle de prix & Facturation

1. Abonnements SaaS

Exemples (remplacer/ajuster) :

2. Frais basés sur l'utilisation (optionnel)

• ex : par utilisateur, par locataire, par Go de stockage, par 1 000 appels API, par transaction
• Les dépassements sont facturés selon la liste de prix

3. Services

4. Frais & Temps de voyage

Le temps de voyage et les frais peuvent être facturés, sauf si explicitement inclus dans le prix. Frais selon dépenses (train/avion/hôtel) sur justificatifs ou forfaits, si convenu.

5. Changements de prix

Les listes de prix peuvent être ajustées. Pour les abonnements en cours, un délai de préavis s'applique (ex : 30–90 jours). B2C : droit spécial de résiliation en cas d'augmentation de prix.

Partie G – Playbook de négociation (Redlines & Réponses)

1. 'Non-négociable' (vos lignes rouges)

• Pas de dommages illimités ; la responsabilité doit rester plafonnée.
• Pas de responsabilité pour dommages indirects / manque à gagner.
• Pas de transfert IP complet automatique (le code source reste au Fournisseur).
• Pas de garantie d'absence d'erreurs ; SLA via crédits, pas via pénalités.
• Pas d'audits clients non annoncés sans cadre (temps, portée, fréquence).

2. 'Bons leviers de négociation' (donner vs. prendre)

3. Réponses standards (Copier/Coller)

4. Vérification de l'accord (Enterprise)

• Niveau SLA et heures de support clairs ?
• Plafond + exclusions clairs ?
• DPA signé, sous-traitants acceptés ?
• Rôles/SSO/MFA requis documentés ?
• Processus de changement & prix écrits ?