RGPD pour éditeur SaaS

Un éditeur de logiciel SaaS occupe une position particulière dans la chaîne de responsabilité du RGPD : il est à la fois responsable de traitement pour les données de ses propres utilisateurs (comptes, analytics, support) et sous-traitant de ses clients B2B pour les données que ceux-ci traitent via la plateforme. Cette dualité structure l'ensemble de la documentation juridique à produire.

Notre générateur produit une politique de confidentialité tenant compte de cette double casquette : obligations du sous-traitant au sens de l'article 28 du RGPD, contrat de sous-traitance (DPA) à annexer aux CGV, localisation des données, sous-traitants ultérieurs et droits des personnes concernées. Le document est prêt en quelques minutes.

Générer ma politique RGPD pour SaaSVoir tous les modèles RGPD

L'éditeur SaaS comme sous-traitant : obligations de l'article 28

Lorsque vos clients B2B chargent des données personnelles de leurs propres utilisateurs ou clients dans votre plateforme SaaS, vous agissez en qualité de sous-traitant au sens de l'article 28 du RGPD. Cette qualification emporte des obligations précises : vous ne pouvez traiter ces données que sur instruction documentée de votre client (le responsable de traitement), vous devez garantir la confidentialité, mettre en œuvre des mesures de sécurité appropriées et supprimer ou restituer les données en fin de contrat.

Un contrat de sous-traitance — généralement appelé DPA (Data Processing Agreement) ou accord de traitement des données — est obligatoire. Il doit couvrir a minima : l'objet et la durée du traitement, la nature et la finalité, le type de données et les catégories de personnes concernées, les obligations et droits du responsable de traitement. Ce DPA doit être annexé à vos CGV ou intégré en tant que document contractuel distinct.

La CNIL et les autorités de contrôle européennes (CEPD) examinent de près les DPA des éditeurs SaaS lors des contrôles. Un DPA inexistant, incomplet ou signé après la mise en production expose votre client à des sanctions — et lui confère un recours contractuel contre vous.

Sous-traitants ultérieurs et localisation des données

Un éditeur SaaS fait lui-même appel à des sous-traitants pour opérer son service : fournisseurs cloud (AWS, Google Cloud, Azure, OVH), bases de données managées, outils de monitoring, services d'email transactionnel (SendGrid, Mailgun), CRM, support client. Ces prestataires sont des « sous-traitants ultérieurs » que le RGPD impose de lister et d'encadrer (art. 28.2 et 28.4).

Votre DPA doit prévoir une procédure d'autorisation des sous-traitants ultérieurs : soit une liste exhaustive approuvée par le client, soit une autorisation générale avec notification préalable de tout changement (modèle le plus courant). Le client doit disposer d'un droit d'objection dans un délai raisonnable.

La localisation des données est un point de négociation contractuelle croissant, notamment dans le secteur public et la santé. Précisez dans votre documentation les régions où les données sont hébergées. Si vous utilisez AWS ou GCP, des configurations « données hébergées en Europe » (régions eu-west, eu-central) sont disponibles et constituent un avantage commercial significatif pour les clients soucieux de conformité.

Sécurité, réversibilité et gestion des violations

L'article 32 du RGPD impose au sous-traitant de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données. Pour un éditeur SaaS, cela inclut : chiffrement des données en transit (TLS) et au repos, contrôle d'accès basé sur les rôles, journalisation des accès, tests de pénétration réguliers, politique de gestion des vulnérabilités et plan de continuité d'activité.

La réversibilité — la capacité pour un client à récupérer ses données dans un format exploitable à la fin du contrat — est une exigence RGPD mais aussi un argument commercial. Prévoyez dans vos CGV et votre DPA un délai de restitution (typiquement 30 à 90 jours après résiliation) et les formats disponibles (CSV, JSON, SQL dump). En cas de violation de données, vous avez l'obligation d'en informer votre client responsable de traitement sans délai injustifié, afin qu'il puisse respecter son obligation de notification à la CNIL dans les 72 heures.

Générez votre document en 5 minutes

Notre générateur pré-remplit automatiquement les options adaptées à votre cas. Document personnalisé prêt à être copié-collé sur votre site.

Générer ma politique RGPD pour SaaS

Questions fréquentes

Un éditeur SaaS B2B doit-il désigner un DPO ?

La désignation d'un DPO est obligatoire si l'activité principale consiste en un traitement à grande échelle de données sensibles (art. 37.1.c) ou un suivi régulier et systématique des personnes à grande échelle (art. 37.1.b). Pour la plupart des SaaS B2B de taille moyenne, ce n'est pas obligatoire — mais la désignation d'un DPO volontaire ou d'un référent protection des données est fortement recommandée pour rassurer les clients grands comptes et accompagner les négociations de DPA.

Quelle est la différence entre DPA, contrat de sous-traitance et accord de traitement ?

Ce sont trois noms différents pour le même document obligatoire au sens de l'article 28 du RGPD. En pratique, les éditeurs américains parlent de « DPA » (Data Processing Agreement), les Français de « contrat de sous-traitance » ou « accord de traitement des données ». L'important est que le document couvre toutes les mentions listées à l'article 28.3 du RGPD et soit signé avant le début du traitement.

Faut-il un registre des traitements en tant qu'éditeur SaaS ?

Oui, et un double registre. En tant que responsable de traitement (pour vos propres utilisateurs), vous documentez vos traitements internes : analytics, CRM, support. En tant que sous-traitant (pour les données de vos clients), vous documentez les catégories de traitements effectués pour l'ensemble de vos clients. Ce second registre est plus simple car il est par nature identique pour tous les clients du même plan.

Comment gérer le droit à l'effacement d'un utilisateur final que mon client me demande d'effacer ?

Votre DPA doit prévoir la procédure : votre client (responsable de traitement) vous transmet la demande d'effacement, vous disposez d'un délai contractuel pour l'exécuter et lui confirmer la suppression. Vous n'avez en général pas de contact direct avec l'utilisateur final — c'est votre client qui gère les demandes de droits et vous mandate pour l'exécution technique. Cette chaîne doit être documentée et fonctionnelle.

Voir aussi

RGPD
RGPD pour application mobile
RGPD
RGPD pour site de rencontre
CGV
CGV pour SaaS (Software as a Service)

Guides pour aller plus loin

Guide
SaaS B2B : CGV, DPA, SLA — comprendre les trois documents indispensables

Tout éditeur SaaS B2B sérieux signe avec ses clients un triptyque : CGV pour la relation commerciale, DPA pour le traitement des données, SLA pour le niveau de service. Pourquoi trois documents, ce qu'ils doivent contenir, et comment éviter les pièges en 2026.

Guide
Registre des traitements RGPD : modèle gratuit et exemple rempli pour un e-commerce

Article 30 du RGPD : pourquoi tenir un registre des traitements, ce qu'il doit contenir, modèle CNIL gratuit et exemple détaillé pour un e-commerce français en 2026.