Ecouter l’épisode :
Depuis septembre 2025, le Data Act est entré en application — et la plupart des éditeurs SaaS ne l’ont pas vu venir. Il change pourtant les règles du jeu : droit de résiliation facilité, obligation de restitution des données, encadrement des frais de changement de prestataire. Pour les CSM, c’est à la fois un défi et une opportunité. Matthieu, avocat spécialisé dans l’accompagnement des éditeurs SaaS, partage son analyse et ses conseils.
« On n’est plus dans une logique où on essaie de coincer le client,
mais plutôt de travailler avec lui pour qu’il veuille rester. »
Tous les SaaS sont concernés - sans exception
Le Data Act est souvent perçu comme ciblant l’IoT ou les géants du cloud. C’est une erreur. Le texte comporte une section entière dédiée aux fournisseurs de services logiciels : un CRM, un outil de ticketing, une plateforme marketing dans le cloud sont tous dans le périmètre. Seuls les logiciels on-premise ou sur clouds privés y échappent.
La principale erreur d’appréciation : croire que la réglementation ne vise que les grands acteurs. Elle s’applique quelle que soit la taille de l’entreprise, avec des sanctions alignées sur celles du RGPD. La fatigue réglementaire, après le RGPD, l’AI Act…, explique en partie le manque de prise de conscience. Mais les premières décisions de justice arrivent dans les 12 à 24 mois : l’attentisme n’est plus une option.
Un droit de résiliation déguisé et ses conséquences contractuelles
Le Data Act crée un droit de switching : un client peut résilier pour changer de prestataire, récupérer ses données ou développer la solution en interne. En pratique, c’est un droit de résiliation pour convenance, avec deux mois de préavis, applicable aux nouveaux contrats comme aux contrats existants.
« Les clients peuvent sortir du contrat comme ils le souhaitent. »
Les pénalités de résiliation anticipée restent autorisées, à condition d’être contractualisées et proportionnées. Les frais de changement de prestataire (export de données, support à la migration) seront interdits dès janvier 2027 et d’ici là, plafonnés au coût réel.
Les renouvellements deviennent donc stratégiques. C’est le bon moment pour intégrer des clauses adaptées : pénalités graduées selon l’année de résiliation, paiements anticipés non remboursables, conditions de sortie explicites. Si rien n’est contractualisé, le client peut partir sans contrepartie. Le Data Act est d’ordre public : il s’applique avec ou sans mention dans le contrat.
La restitution des données : un chantier à préparer dès maintenant
Le RGPD se limitait aux données personnelles. Le Data Act couvre toutes les données traitées : métier, rapports, dashboards, automatisations. Les obligations sont claires : formats interopérables, délai de 30 jours, sans travail de restructuration côté client.
« Nous avons réfléchi au processus de restitution des données. Vous aurez des données réutilisables, nous savons qu’elles vous appartiennent. »
Ce chantier technique ne s’improvise pas à la première demande. Il faut cartographier les données exportables avec les équipes produit et valider que les mécanismes d’export fonctionnent dans les délais. Bien présenté, c’est aussi un argument commercial : rassurer le client sur sa liberté de mouvement renforce la confiance, pas l’inverse.
Le rôle du CSM : orchestrer, anticiper, retenir par la valeur
Le CSM est en première ligne face aux demandes liées au Data Act. Pas besoin de maîtriser le texte dans le détail, mais une connaissance de base est indispensable : délais de résiliation, périmètre des données, interlocuteurs à mobiliser en interne. C’est le chef d’orchestre, pas le juriste.
Le changement culturel est plus profond : la rétention ne passe plus par le contrat, mais par la valeur. Les clients savent qu’ils peuvent partir. Ce qui les retient, c’est la qualité de la relation et la perception d’utilité au quotidien. Pour les CSM dans des entreprises où le sujet n’a pas encore été traité, c’est aussi l’occasion de prendre un rôle moteur : initier la mise en conformité et faire de la contrainte réglementaire un avantage concurrentiel.
Les premières décisions de justice tomberont d’ici un à deux ans. Les entreprises qui auront anticipé seront mieux positionnées, pas seulement pour éviter les sanctions, mais aussi pour transformer la conformité en avantage concurrentiel. La porte de sortie est ouverte : il reste à donner envie aux clients de ne pas la prendre.
Ce qu’il faut retenir
- Le Data Act s’applique à tous les SaaS traitant des données dans le cloud, quelle que soit leur taille.
- Les clients peuvent résilier à tout moment avec 2 mois de préavis, même sur des engagements pluriannuels.
- Les frais de changement de prestataire seront interdits dès janvier 2027 ; les pénalités de résiliation restent autorisées si contractualisées.
- La restitution des données en formats interopérables sous 30 jours est une obligation technique à anticiper.
- Le CSM est le chef d’orchestre : connaissance du texte, détection des signaux faibles, rétention par la valeur.
Outils et ressources recommandés par Matthieu
Outils utilisés :
- Tomorrow : solution de gestion et de suivi de contrats SaaS
- Spellbook : outil de négociation contractuelle assistée par IA
Ressource recommandée :
- Newsletter du cabinet Volkane pour une veille juridique pratique sur la gestion de contrats
