
Contrat de maintenance site internet : les clauses à vérifier avant de signer
Périmètre d'intervention, SLA et pénalités, propriété du code, réversibilité, RGPD : le guide du dirigeant de PME pour lire un contrat de maintenance de site internet et repérer les pièges avant de signer.
Le contrat de maintenance de votre site vient d'arriver dans votre boîte mail, et il faut le signer avant la mise en ligne. Douze pages, des sigles (SLA, GTI, GTR), des renvois vers des annexes : vous n'avez ni le temps ni l'envie de jouer au juriste. Le problème, c'est que tout ce qui n'y figure pas noir sur blanc se retournera contre vous : intervention facturée « hors forfait », site bloqué chez le prestataire au moment d'en changer, nom de domaine déposé à son nom. Les guides disponibles sont écrits par des agences qui vendent leur propre contrat, ou par des avocats qui le rédigent. Celui-ci prend votre place : celle du dirigeant qui doit signer, et qui veut savoir où regarder.
Avant de signer, vérifiez en priorité 5 clauses : le périmètre d'intervention (ce qui est inclus, exclu, plafonné), les délais d'intervention chiffrés avec pénalités (SLA, GTI, GTR), la propriété du site et des accès, la clause de réversibilité en fin de contrat, et la conformité RGPD si le prestataire accède à vos données.
À quoi vous engage vraiment un contrat de maintenance de site internet ?
Un contrat de maintenance de site internet est un contrat de prestation de services récurrent : contre un forfait mensuel ou annuel, un prestataire surveille, corrige et met à jour votre site. Dans la plupart des cas, il n'est tenu qu'à une obligation de moyens : il promet de faire de son mieux, pas d'atteindre un résultat.
Une fois signé, le contrat fait la loi : « les contrats légalement formés tiennent lieu de loi à ceux qui les ont faits » (article 1103 du Code civil). Ce que vous n'avez pas négocié avant la signature, vous le subirez après.
La distinction entre obligation de moyens et obligation de résultat, constante dans la jurisprudence de la Cour de cassation, change tout en cas de litige. Obligation de moyens : c'est à vous de prouver la faute du prestataire pour obtenir des dommages-intérêts (article 1231-1 du Code civil). Obligation de résultat : le constat du résultat manqué suffit, la charge de la preuve s'inverse.
La conséquence pratique tient en une règle : tout engagement mesurable doit être écrit comme un chiffre, pas comme une intention. « S'engage à rétablir le service sous 8 heures ouvrées » vous protège ; « fera ses meilleurs efforts pour intervenir rapidement » ne protège de rien. Sachez enfin que la jurisprudence met à la charge du prestataire informatique un devoir d'information et de conseil envers le client profane : un contrat qui cherche à l'écarter en dit long sur son rédacteur.
Quel périmètre d'intervention doit être écrit noir sur blanc ?
Le contrat doit lister les interventions couvertes par le forfait, réparties en trois familles : maintenance corrective (pannes, bugs), préventive (mises à jour, surveillance, sauvegardes) et évolutive (améliorations). Il doit aussi préciser les exclusions, le plafond d'heures mensuel et le tarif des interventions hors forfait. Tout ce qui n'est pas écrit sera facturé en plus.
Corrective, préventive, évolutive : trois périmètres différents
La question n'est pas de savoir si ces trois familles existent, mais lesquelles votre forfait couvre, et jusqu'où :
| Famille | Ce qu'elle couvre | Le point à vérifier au contrat |
|---|---|---|
| Corrective | Pannes, bugs, remise en service | Délais garantis et plage horaire d'intervention |
| Préventive | Mises à jour, surveillance, sauvegardes | Fréquence chiffrée de chaque opération |
| Évolutive | Petites évolutions, contenus, modules | Incluse, plafonnée en heures, ou sur devis |
Le niveau de couverture explique l'essentiel des écarts de prix entre forfaits : pour situer les tarifs du marché et le détail de ce qu'une prestation sérieuse doit contenir, notre guide sur ce que comprend (et coûte) la maintenance d'un site fait le tour du sujet.
Exclusions et plafonds d'heures : où sont les pièges ?
Trois mécanismes, souvent relégués en annexe, concentrent les mauvaises surprises :
- Le « hors périmètre » extensible : si le périmètre se résume à « maintenance du site », chaque demande devient facturable au taux horaire libre, couramment 60 à 120 € HT de l'heure sur le marché français. Exigez un devis préalable obligatoire pour toute intervention hors forfait.
- Le plafond d'heures sans report : un forfait « 2 heures de support par mois » perd sa valeur si les heures non consommées disparaissent chaque mois et si le dépassement est facturé sans validation de votre part.
- Les exclusions en cascade : incidents causés par une extension tierce, l'hébergeur ou une « mauvaise utilisation ». Certains contrats excluent même la remise en état après piratage : précisément le scénario pour lequel vous payez une maintenance.
SLA, GTI, GTR : quels délais d'intervention exiger ?
Exigez des délais chiffrés en heures ouvrées : le SLA définit les niveaux de service garantis, la GTI le délai maximal avant le début de l'intervention, la GTR le délai maximal de remise en service. Sans pénalités associées, ces garanties restent des déclarations d'intention sans portée contractuelle réelle.
SLA, GTI, GTR : les définitions en langage simple
- SLA (Service Level Agreement) : les niveaux de service garantis (disponibilité, délais, plages d'intervention).
- GTI (Garantie de Temps d'Intervention) : le délai maximal entre votre signalement et le début de l'intervention.
- GTR (Garantie de Temps de Rétablissement) : le délai maximal de remise en service effective.
Un ordre de grandeur pour lire la clause de disponibilité : un engagement d'uptime de 99,9 % autorise près de 8 h 45 d'indisponibilité par an, tandis qu'à 99,99 % le plafond tombe à 52 minutes. Le chiffre après la virgule change tout.
Quelles valeurs sont réalistes pour une PME ?
Les repères ci-dessous sont des ordres de grandeur constatés sur le marché français de l'infogérance web, à adapter à la criticité de votre activité : un site vitrine ne justifie pas les mêmes garanties qu'une boutique qui encaisse la nuit.
| Criticité de l'incident | GTI réaliste | GTR réaliste |
|---|---|---|
| Site totalement inaccessible | 4 h ouvrées | 24 h ouvrées |
| Fonction clé dégradée (formulaire, paiement) | 8 h ouvrées | 48 h ouvrées |
| Anomalie mineure (affichage, contenu) | 2 jours ouvrés | Prochaine intervention planifiée |
Méfiez-vous des promesses trop belles : une GTR d'une heure, 24h/24, suppose une astreinte permanente rarement compatible avec un forfait d'entrée de gamme. Un engagement irréaliste ne sera pas tenu.
Pénalités : un SLA sans sanction n'est qu'une promesse
Le contrat doit prévoir des pénalités automatiques en cas de dépassement : typiquement un pourcentage de la mensualité par tranche de retard, souvent plafonné à un mois de forfait. C'est la clause pénale de l'article 1231-5 du Code civil, que le juge peut modérer si elle est manifestement excessive, ou augmenter si elle est dérisoire. Sans elle, il vous faudra prouver votre préjudice devant un tribunal pour obtenir réparation : autant dire que personne ne le fait pour un site immobilisé deux jours.
Besoin d'aide ? Découvrez notre service Maintenance & hébergement
Qui est propriétaire de votre site, du code et des accès ?
Vérifiez trois points : le nom de domaine doit être déposé au nom de votre entreprise (jamais à celui du prestataire), le contrat doit prévoir une cession écrite des droits sur le code et les développements, et vous devez détenir ou pouvoir récupérer tous les accès : registrar, hébergement, DNS, statistiques.
Nom de domaine et hébergement : à votre nom, toujours
Le titulaire du nom de domaine en est le seul propriétaire. La vérification prend deux minutes : pour un .fr, l'annuaire WHOIS de l'AFNIC, l'office d'enregistrement des noms de domaine français, affiche le titulaire. Si le nom de votre agence apparaît, votre adresse web ne vous appartient pas.
Même logique pour l'hébergement : compte au nom de votre entreprise, ou restitution des accès et des données expressément prévue au contrat. Le choix de la plateforme conditionne aussi performance et disponibilité : notre comparatif des hébergements Vercel, Netlify et OVH détaille ce qui change pour un site d'entreprise.
Code, licences et développements : qui détient quoi ?
En droit français, le code source est protégé par le droit d'auteur dès sa création (article L111-1 du Code de la propriété intellectuelle) : il appartient à son auteur, pas à celui qui le paie. La cession doit être écrite, mentionner chaque droit cédé et en délimiter l'étendue (article L131-3). Sans clause de cession, le site que vous avez financé ne vous appartient pas juridiquement.
Vérifiez aussi que les développements réalisés pendant la maintenance (correctifs, modules, évolutions) sont cédés au fil de l'eau, et que les licences tierces (thème premium, extensions payantes) sont souscrites à votre nom ou transférables : une licence rattachée au compte de l'agence disparaît avec elle.

Clause de réversibilité : comment éviter le site pris en otage ?
La clause de réversibilité organise votre départ : elle oblige le prestataire à restituer le code source, la base de données, les sauvegardes et l'ensemble des accès dans un format exploitable, et à assister le transfert vers un nouveau prestataire. Son coût et son délai doivent être chiffrés dès la signature du contrat.
C'est la clause la plus souvent absente, et la plus coûteuse quand elle manque : sans réversibilité, changer de prestataire peut signifier repartir de zéro (site, référencement, parfois adresse web). L'ANSSI, l'agence nationale de la sécurité des systèmes d'information, recommande dans son guide sur l'externalisation de traiter la réversibilité dès la contractualisation, pas au moment du divorce.
Une clause de réversibilité complète prévoit :
- la remise du code source et de la base de données dans un format standard exploitable (dépôt Git, export SQL, CSV) ;
- la remise des dernières sauvegardes complètes ;
- le transfert du nom de domaine, des accès d'hébergement, DNS, emails et outils de mesure d'audience ;
- une documentation technique minimale (architecture, dépendances, procédure de déploiement) ;
- une assistance de transfert chiffrée à l'avance (nombre de jours, tarif) ;
- un délai de restitution ferme après la fin du contrat.
Le test est simple, que votre entreprise soit à Montreuil, à Créteil ou ailleurs en Île-de-France : demandez au prestataire ce qui se passe concrètement si vous partez dans 18 mois. La précision de sa réponse vaut tous les audits.
Durée, tacite reconduction, résiliation : que vérifier avant de signer ?
Vérifiez quatre points : la durée d'engagement initiale (12 mois est un standard, méfiance au-delà de 24), le mécanisme de reconduction tacite et sa fenêtre de dénonciation, la durée du préavis de résiliation (1 à 3 mois) et le sort des sommes déjà versées en cas de rupture anticipée.
Premier réflexe à corriger : la loi Chatel, qui impose de rappeler la faculté de non-reconduction, ne protège que les consommateurs et les non-professionnels (article L215-1 du Code de la consommation). Entre entreprises, elle ne s'applique pas : c'est votre contrat qui fixe les règles.
Deux cas de figure en pratique. Si le contrat ne précise rien, la tacite reconduction produit un nouveau contrat à durée indéterminée (article 1215 du Code civil), que chaque partie peut résilier à tout moment moyennant un préavis raisonnable (article 1211). Mais si le contrat stipule une reconduction par périodes fermes de 12 mois, dénonçable 3 mois avant l'échéance, cette clause s'applique : ratez la fenêtre, et vous voilà réengagé un an.
Pensez aussi à la sortie en cas de faute : le droit commun permet de résoudre le contrat pour inexécution grave, après mise en demeure infructueuse (articles 1224 à 1226 du Code civil), mais une clause résolutoire listant les manquements déclencheurs (indisponibilité répétée, sauvegardes absentes, GTR non tenue) vous évitera des mois de discussion.
Dernier détail qui n'en est pas un : notez la forme exigée pour résilier (lettre recommandée le plus souvent) et inscrivez la fenêtre de dénonciation dans votre agenda le jour même de la signature.
Sécurité, sauvegardes, RGPD : quelles garanties contractuelles minimales ?
Trois garanties minimales : des sauvegardes dont la fréquence, la rétention et la restitution sont écrites au contrat, un délai d'application des correctifs de sécurité critiques, et un contrat de sous-traitance conforme à l'article 28 du RGPD dès lors que le prestataire accède aux données personnelles de vos clients ou prospects.
Sur les sauvegardes, ne vous contentez pas d'un « sauvegardes régulières » : le contrat doit préciser la fréquence (quotidienne pour un site actif), la durée de rétention, le stockage sur une infrastructure distincte du site et votre droit d'en obtenir une copie sur simple demande. Un bon contrat commence d'ailleurs par un état des lieux technique : vérification des sauvegardes existantes, inventaire des accès et identification des points de fragilité du site.
Côté données personnelles, la règle est nette : dès que le prestataire traite pour votre compte des données de clients ou de prospects (formulaires de contact, comptes, statistiques), il devient votre sous-traitant au sens du RGPD, et un contrat écrit est obligatoire (article 28). Cette annexe, souvent appelée DPA, doit préciser l'objet, la durée, la nature et la finalité du traitement, les catégories de données et les obligations du sous-traitant (article 28.3). Elle doit notamment l'obliger à vous signaler toute violation de données dans les meilleurs délais : c'est vous, responsable de traitement, qui devez notifier la CNIL sous 72 heures (article 33). Les manquements aux obligations de l'article 28 exposent à une amende pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial (article 83.4). Et l'exigence monte d'un cran avec la directive européenne NIS2 (2022/2555), qui étend les obligations de cybersécurité à des milliers d'entreprises et, par ricochet, à leurs prestataires. Pour la mise en conformité du site lui-même, notre guide sur la sécurité web, le HTTPS et le RGPD détaille les obligations.
Jouons la transparence sur ce que ces clauses donnent chez nous : notre forfait maintenance et hébergement est à 150 € par mois tout inclus, avec hébergement premium sur Vercel, certificat SSL, CDN, sauvegardes quotidiennes, monitoring 24/7 et support technique 6 jours sur 7, pour des sites développés en Next.js/React. Ce sont exactement les engagements que nous vous invitons à exiger, chez nous comme ailleurs.
Les 7 drapeaux rouges d'un mauvais contrat de maintenance
La checklist inverse : si vous cochez un seul de ces points à la lecture, demandez une modification écrite avant de signer. Deux ou plus : changez de prestataire.
- Aucun périmètre détaillé : une ligne « maintenance du site internet » sans liste d'interventions, d'exclusions ni de plafond d'heures.
- Zéro délai chiffré : pas de GTI ni de GTR, remplacées par « meilleurs délais » ou « meilleurs efforts ».
- Des SLA sans pénalités : des garanties affichées, mais aucune conséquence contractuelle en cas de non-respect.
- Le nom de domaine au nom du prestataire : votre adresse web ne vous appartient pas.
- Pas de clause de réversibilité, ou une réversibilité renvoyée au « tarif en vigueur » au moment du départ.
- Un engagement de 24 à 36 mois avec reconduction par périodes fermes et fenêtre de dénonciation courte.
- Le silence sur le RGPD et les sauvegardes : aucune annexe de sous-traitance, aucune précision sur la fréquence ni la restitution des sauvegardes.
Quelles questions poser au prestataire avant de signer ?
Huit questions suffisent à jauger un contrat : que couvre exactement le forfait, qu'est-ce qui est facturé en plus, quels délais sont garantis et avec quelles pénalités, qui détient le domaine et le code, que se passe-t-il en cas de départ, et comment sont gérées les sauvegardes, les données personnelles et les urgences.

Posez-les dans cet ordre, et notez les réponses :
- Que couvre précisément le forfait mensuel, et pouvez-vous me montrer un exemple de rapport d'intervention ?
- Qu'est-ce qui est facturé en plus, à quel taux horaire, et le devis préalable est-il systématique ?
- Quels sont vos GTI et GTR, sur quelle plage horaire, et quelles pénalités en cas de dépassement ?
- Le nom de domaine, l'hébergement et le code seront-ils à mon nom ? Sinon, que prévoit le contrat pour la restitution ?
- Si je résilie dans 18 mois, que me remettez-vous exactement, sous quel délai et à quel coût ?
- Quelle est la fréquence des sauvegardes, où sont-elles stockées, et puis-je en obtenir une copie ?
- Où est votre annexe RGPD (article 28), et comment me signalez-vous une violation de données ?
- L'état des lieux initial du site (sauvegardes, accès, points de fragilité) est-il inclus avant la prise en charge ?
Un prestataire sérieux répond à ces huit questions sans détour, chiffres à l'appui. Une réponse évasive avant la signature ne devient jamais un engagement après.
Conclusion
Trois réflexes à retenir avant de parapher :
- Tout ce qui compte doit être chiffré : périmètre, plafond d'heures, GTI, GTR, pénalités. Les intentions n'engagent personne, les chiffres si.
- La propriété d'abord : nom de domaine, hébergement et accès à votre nom, cession écrite des droits sur le code, et une réversibilité chiffrée dès la signature.
- Le droit ne vous protège pas par défaut : en B2B, pas de loi Chatel, et le contrat tient lieu de loi entre les parties. Ce que vous ne négociez pas avant de signer, vous le subirez après.
Vous voulez un avis expert sur votre projet ? Demandez votre devis gratuit : on analyse votre site, votre contrat actuel et vos besoins, et on vous répond sous 48h. Sans engagement.
Le Conseil KreaRise : Avant de signer, demandez au prestataire de chiffrer la réversibilité noir sur blanc : coût, délai, liste exacte des éléments restitués (code source, base de données, sauvegardes, accès, documentation). Un prestataire sérieux répond avec des montants précis. Celui qui élude ou renvoie au « tarif en vigueur » organise votre dépendance.
Questions frequentes
C'est un contrat de prestation de services récurrent par lequel un prestataire s'engage, contre un forfait mensuel ou annuel, à surveiller, corriger et mettre à jour un site internet. Il définit le périmètre d'intervention (correctif, préventif, évolutif), les délais garantis (GTI, GTR), les exclusions, la propriété des éléments du site et les conditions de résiliation.
Tags

Experte SEO & Rédactrice web chez KreaRise
Plume de KreaRise, spécialisée en SEO, développement web et marketing digital pour les TPE et PME d'Île-de-France.
Voir tous les articles de MorganeVotre site mérite mieux. On vous le prouve.
Recevez un audit personnalisé de votre site (performances, SEO, design) avec des actions concrètes à appliquer immédiatement.
Articles similaires
MaintenanceMaintenance de site web : ce que ça inclut vraiment (au-delà de l'hébergement)
Hébergement, mises à jour, sécurité, sauvegardes… Que doit inclure un vrai contrat de maintenance ? Prix 2026, 5 piliers essentiels et signaux d'alerte.
MaintenanceSécurité de votre site web : guide HTTPS, RGPD et bonnes pratiques 2026
HTTPS, RGPD, failles OWASP : 43% des cyberattaques ciblent les PME. Guide complet pour sécuriser votre site web en 2026 et éviter amendes et piratages.
MaintenanceFaut-il quitter WordPress pour un CMS moderne ? Guide de décision
Votre site WordPress montre ses limites ? Découvrez quand migrer vers une solution moderne et comment prendre cette décision.