Dans le Saas coexistent une relation visible et une relation plus cachée. Dans la première, le client contractualise avec un couple éditeur-intégrateur, dans la seconde le même contrat est répercuté sur plusieurs acteurs : hébergeurs, opérateurs de télécoms, fournisseurs de hard, fournisseurs de solutions de back up. Le risque est relativement bien identifié sur la première relation, il est minoré car plus complexe sur la seconde. C'est pourtant dans cette seconde phase que se trouvent les risques juridiques les plus élevés. « Les sinistres et les risques viennent de cette chaîne d'acteurs qui n'est pas bien contractualisée » souligne François-Pierre Lani qui met le doigt sur les risques engendrés par la cascade de sous traitants qui assurent les services en Saas. Après plus de dix ans d'existence des formules en Saas, et auparavant en ASP, les juristes disposent de conclusions sur les risques juridiques entraînés par ces formules. François-Pierre Lani les classe en deux grandes catégories : les risques liés à l'externe, ceux liés à la mutualisation. Les risques liés à l'externe sont des problèmes sécuritaires classiques liés à la pollution de données ou à la non atteinte des niveaux de services promis. Le client n'a pas toujours de recours, mais le prestataire principal n'a pas toujours d'emprise sur l'accès aux données et aux services. Les problèmes sont extrêmement divers : connexion, fonctionnement des systèmes électriques, mauvaise conservation des données, risques en cas de sinistre chez l'hébergeur physique. [[page]] Les risques liés à la mutualisation, au partage de ressources, sont d'un autre ordre. Par exemple, la divulgation détaillée d'informations du client, l'absence de partitionnement des disques durs contenant les données de plusieurs clients, ou même le fait qu'un client emporte son disque d'accès, même de façon involontaire. Un risque particulier avec les prestataires américains François-Pierre Lani relève également des cas particuliers, comme la divulgation volontaire de données. Si le prestataire est américain, il peut être obligé de divulguer des informations sur injonction des agences gouvernementales, et ce, même si l'entreprise cliente est étrangère. Un tel cas de figure, doit être prévu dans le contrat. La question de la défaillance d'un prestataire en sous-traitance est une autre question cruciale. Le prestataire principal servant de guichet unique sera-t-il en mesure d'assurer la défaillance d'un de ses sous-traitants ? Bien souvent lui-même a tendance à mal respecter ses sous traitants. On arrive là au coeur des risques juridiques en Saas. « La responsabilité contractuelle du prestataire peut être engagée non seulement en cas de dysfonctionnement de lui-même, mais aussi au titre des défaillances des autres intervenants » relève François-Pierre Lani. Le cabinet Derriennic associés a d'ailleurs élaboré une matrice des risques liés au Saas et préconise la mise en place de contrats miroirs pour répercuter le contrat signé par le client sur tous les sous-traitants de la chaîne et la souscription d'une assurance adaptée au risque. (*) Il s'exprimait lors d'un séminaire tenu par le Syntec Informatique mardi 16 mars