Aucun texte français ne régit globalement le contrat SaaS. Il s'analyse comme un contrat innommé sui generis soumis au droit commun des obligations issu du Code civil, en particulier les articles 1101 et suivants. L'article 1103 pose la force obligatoire du contrat, l'article 1104 impose la bonne foi à toutes les étapes, et l'article 1112-1 fait peser une obligation d'information précontractuelle qui s'apprécie au regard de tous les documents remis, plaquettes commerciales comprises. Un site qui promet des fonctionnalités que les CGV excluent offre au client un fondement pour contester.
La protection du logiciel relève du droit d'auteur : selon l'article L. 122-6 du Code de la propriété intellectuelle, l'éditeur conserve l'intégralité des droits d'exploitation du code. Le point le plus sensible en contentieux reste la limitation de responsabilité. Une clause qui plafonne la responsabilité à un niveau dérisoire face à une obligation essentielle de disponibilité est réputée non écrite sur le fondement de l'article 1170 du Code civil, comme l'a montré la sanction d'un éditeur RH exonéré en cas de défaillance de son hébergeur. Les pénalités des SLA sont qualifiées de clauses pénales au sens de l'article 1231-5, que le juge peut modérer d'office si elles sont manifestement excessives ou dérisoires.
Deux évolutions récentes structurent toute rédaction sérieuse. Le règlement (UE) 2023/2854, dit Data Act, applicable depuis le 12 septembre 2025, impose une réversibilité effective : formats d'export ouverts, documentation d'API, assistance au transfert et interdiction des obstacles au changement de fournisseur, avec suppression totale des frais de sortie au 12 janvier 2027. La loi n° 2024-449 du 21 mai 2024, dite loi SREN, renforce la transparence sur les coûts de portabilité. Le détail des obligations issues du texte européen figure dans la synthèse officielle du Data Act sur EUR-Lex, source de référence pour la clause de résiliation.