Synthèse pour le board
Le Salesforce MSA présente un profil de risque élevé (68/100) caractéristique des contrats SaaS US enterprise imposés au marché EMEA. Trois clauses critiques requièrent une action avant signature : (1) le plafond de responsabilité limité aux fees des 12 derniers mois (€480k max) est manifestement insuffisant face à une exposition opérationnelle de €1.44M sur 3 ans, en particulier en cas d'incident de disponibilité prolongée ou de fuite de données RGPD ; (2) la juridiction exclusive San Francisco/droit californien est pratiquement inopposable pour une entité française SAS, exposant le buyer à des coûts de litige prohibitifs (€150k–€500k) et à une asymétrie totale de négociation ; (3) le renouvellement automatique avec préavis de 90 jours crée un risque de lock-in involontaire sur un cycle triennal. Par ailleurs, la résidence des données US par défaut (section 3.3) constitue un gap RGPD majeur nécessitant un avenant Data Residency EU avant tout traitement de données personnelles de clients européens. Les points positifs : la propriété des données client est clairement stipulée (section 3.1), l'indemnisation IP Salesforce est solide (section 2.1), et le DPA est incorporé par référence. Olivier recommande de conditionner la signature à l'obtention des redlines prioritaires R01, R03 et R07 ; les autres points peuvent faire l'objet d'une négociation en parallèle.
Top 11 risques détectés
LA RESPONSABILITÉ CUMULÉE DE CHAQUE PARTIE DÉCOULANT DU PRÉSENT ACCORD OU EN RAPPORT AVEC CELUI-CI, QUELLE QUE SOIT LA FORME OU LA CAUSE D'ACTION, NE DÉPASSERA PAS LE MONTANT TOTAL PAYÉ PAR LE CLIENT À SALESFORCE AU COURS DES DOUZE (12) MOIS PRÉCÉDANT L'ÉVÉNEMENT DONNANT LIEU À LA RÉCLAMATION.
Redlines proposés
Playbook de négociation
- Préavis de non-renouvellement réduit à 60 jours (vs 90) : accord généralement facile à obtenir, Salesforce accepte pour ne pas perdre le deal en dernière minute
- Confirmation écrite de suppression des données dans les 15 jours post-résiliation : obligation RGPD existante, formalisation sans effort pour Salesforce
- Fenêtre d'export étendue à 90 jours : coût opérationnel nul pour Salesforce, argument RGPD recevable
- Définition objective bilatérale de la violation substantielle : texte neutre acceptable sans concession majeure pour Salesforce
- Modification de l'accord par consentement écrit exprès pour le périmètre 'modifications substantielles' : Salesforce propose déjà ce mécanisme sur ses templates enterprise récents
- Doublement du plafond de responsabilité à 24 mois + sous-cap RGPD ×5 : Salesforce résiste mais accepte à >€300k/an avec un account executive senior impliqué
- Résidence des données EU sans surcoût (Data Residency Frankfurt gratuit) : argument RGPD fort, mais Salesforce vend cela comme add-on. Angle : 'conformité non-négociable, deal killer si refus'
- Droit d'audit tiers annuel sur les mesures de sécurité et la conformité DPA : Salesforce préfère substituer par ses rapports SOC2 Type II et ISO 27001 — insister sur l'accès direct ou via auditeur mandaté
- Renouvellement annuel (vs triennal) : Salesforce privilégie les deals longs — proposer en échange un engagement sur 3 ans avec points de sortie annuels conditionnels (SLA non respecté)
- Refus total de toute forme d'arbitrage ou de juridiction européenne : si Salesforce maintient la juridiction exclusive Californie sans alternative, l'entité française ne peut contractuellement pas s'engager — risque légal et opérationnel inacceptable
- Refus de Data Residency EU dans l'Order Form (y compris avec surcoût refusé) : une entité française traitant des données personnelles EMEA ne peut pas légalement envoyer ces données aux USA sans mécanismes de transfert explicitement documentés et auditables — condition sine qua non RGPD