Je vends mon SaaS à des clients européens : quelles obligations RGPD concrètes ?

Si votre SaaS traite des données personnelles de résidents de l’UE, le RGPD s’applique, que vous soyez établi en Europe ou non (EUR‑Lex – Règlement 2016/679). Votre statut varie selon les traitements : souvent sous‑traitant pour la donnée que vos clients stockent dans votre plateforme, mais aussi responsable de traitement pour vos comptes utilisateurs, facturation et prospection.

1) Cartographier vos traitements et qualifier vos rôles

• Responsable de traitement (controller) : création de comptes, facturation, support, mesures anti‑fraude, analytics propres, newsletter.
• Sous‑traitant (processor) : hébergement et opérations sur les données que vos clients chargent dans l’application.

Documentez ces rôles dans votre registre des traitements (art. 30) et reflétez‑les dans vos contrats. Pour structurer ce registre, suivez notre template de registre des traitements RGPD.

2) Les obligations RGPD clés d’un SaaS (concret et vérifiable)

2.1 Base légale et principes (art. 5 et 6)

• Base légale : exécution du contrat (art. 6(1)(b)) pour fournir le service ; intérêt légitime (art. 6(1)(f)) pour sécurité/fraude ; consentement pour cookies/traceurs et marketing électronique le cas échéant (lignes CNIL). Références : EUR‑Lex (art. 5, 6 RGPD), CNIL – RGPD, CNIL – Cookies et traceurs.
• Minimisation (art. 5(1)(c)) : ne collectez que l’indispensable pour vos finalités.
• Limitation de la conservation (art. 5(1)(e)) : fixez des durées et automatisez les purges.

2.2 Accord de sous‑traitance (DPA) obligatoire (art. 28)

Avec chaque client pour lequel vous agissez en sous‑traitant, annexez un DPA précisant objet, durée, nature, finalités, catégories de données et personnes concernées, obligations de sécurité, assistance aux droits, gestion des sous‑traitants ultérieurs (Sub‑processors), audits, fin de contrat (suppression/restitution). Référez‑vous au guide complet du DPA pour SaaS et à notre focus sous‑traitance RGPD dans un SaaS. Texte : EUR‑Lex (art. 28 RGPD).

2.3 Transparence et information (art. 12–14)

Mettez à jour votre politique de confidentialité : finalités, bases légales, destinataires, transferts, durées, droits, contact DPO/representant UE, plaintes autorité. 2026 : l’EDPB cible la transparence dans une action coordonnée d’application, attendez‑vous à des contrôles renforcés : EDPB – CEF 2026. Pour la rédaction, suivez notre guide politique de confidentialité.

2.4 Privacy by design/default (art. 25)

• Paramètres par défaut non intrusifs, chiffrement au repos/en transit, pseudonymisation quand possible.
• Logs limités, cloisonnement des environnements, least privilege.
• Revue de conception et tests sécurité en continu. Réf. : EUR‑Lex (art. 25 RGPD).

2.5 Sécurité, incidents et journalisation (art. 32–34)

• Mesures techniques/organisationnelles proportionnées (ISO 27001 en inspiration) : MFA, gestion des clés, durcissement, sauvegardes chiffrées, role‑based access, revues d’accès trimestrielles. Réf. : EUR‑Lex (art. 32 RGPD).
• Violation de données : le sous‑traitant notifie le client sans délai indu (art. 33(2)) ; le responsable notifie l’autorité sous 72h (art. 33(1)) et les personnes si risque élevé (art. 34). Guide : CNIL – Notification des violations.

2.6 Droits des personnes (art. 15–22)

• Self‑service dans le produit pour export/rectification/suppression, journal des demandes, SLA de réponse.
• Mécanisme d’objection pour marketing/analytics facultatifs. Réf. : EUR‑Lex (droits RGPD).

2.7 Registre des traitements (art. 30)

Tenez un registre à jour couvrant finalités, bases légales, catégories de données/destinataires, transferts, durées, mesures de sécurité. Réf. : EUR‑Lex (art. 30 RGPD). Modèle pratique : registre des traitements – template.

2.8 Transferts hors UE (Schrems II)

• Cartographiez hébergeurs et outils (logs, emails, support). Si transfert vers pays tiers : utilisez les CCT 2021/914 et faites un TIA. Sources : EUR‑Lex – CCT 2021/914, CNIL – Transferts hors UE.
• Mesures complémentaires : chiffrement côté client, key management européen, minimisation.
• Informez clairement dans la politique de confidentialité (art. 13(1)(f)).

Pour une mise en œuvre pas à pas, voyez notre guide Clauses contractuelles types post‑Schrems II.

2.9 DPO et représentant UE

• DPO si vous effectuez un suivi régulier et systématique à grande échelle ou traitez des catégories particulières à grande échelle (art. 37). Réf. : CNIL – DPO.
• Représentant dans l’UE si vous êtes hors UE mais ciblez l’UE (art. 27). Réf. : EUR‑Lex (art. 27 RGPD).

2.10 DPIA (analyse d’impact) quand risque élevé

Ex. : surveillance systématique, données sensibles, profilage important. Méthode CNIL : CNIL – PIA.

3) Spécificités SaaS B2B à ne pas rater

• Cookies/SDK analytics : consentement préalable pour les traceurs non strictement nécessaires, y compris certaines métriques produit. Voir CNIL – Cookies.
• Support et debug : évitez les données en clair dans tickets/logs ; masquage automatique.
• Accès d’administration : procédures break‑glass tracées et approuvées.
• Rebond de sous‑traitance : tenez une liste publique de vos sous‑traitants en cascade et un mécanisme d’opposition. Bonne pratique recommandée par la doctrine pro SaaS : Aetherio – Obligations RGPD SaaS.

4) DPA : les clauses à négocier et à documenter

• Sécurité : annexe technique détaillant chiffrement, hardening, sauvegardes, BCM/DRP, tests d’intrusion.
• Sous‑traitants ultérieurs : notification préalable + droit d’opposition, flow‑down des obligations.
• Audits : audits raisonnables, périodiques, avec rapports de certification indépendants (ISO/SOC) pour limiter l’intrusivité.
• Assistance : coopération droits/DPIA, délais de réponse, points de contact.
• Fin de contrat : réversibilité et suppression/retour des données, certificats d’effacement.

Base juridique : EUR‑Lex (art. 28(3) RGPD). Pour la mise en forme opérationnelle, appuyez‑vous sur notre guide DPA SaaS.

5) Transferts hors UE : méthode express

1. Identifiez les flux (hébergeur, analytics, emailing, logs, support).
2. Vérifiez l’adéquation/pays tiers puis CCT 2021/914 si nécessaire (EUR‑Lex).
3. Réalisez un TIA (loi du pays, accès autorités) et ajoutez des mesures techniques (CNIL).
4. Informez dans la politique de confidentialité (art. 13/14).

6) Roadmap de conformité 30/60/90 jours

J+30

• Cartographie des traitements et rôles, registre initial, inventaire sous‑traitants.
• Politique de confidentialité à jour et bannière cookies conforme CNIL.
• Clauses RGPD intégrées à vos CGV/contrat SaaS et DPA standard prêt.

J+60

• MFA partout, gestion des accès, plan de réponse incident + procédure de notification.
• Process droits des personnes et portail self‑service.
• Examen transferts hors UE, CCT signées + TIA documentés.

J+90

• Tests d’intrusion, sauvegardes chiffrées et tests de restauration.
• Programme privacy by design et revues produit.
• DPIA si nécessaire, décision DPO, et le cas échéant représentant UE.

7) Risques et contrôles en 2026

Les manquements (transparence, transferts, sécurité) exposent à des amendes pouvant atteindre 20 M€ ou 4 % du CA mondial (art. 83 RGPD : EUR‑Lex). L’EDPB a annoncé une action coordonnée sur la transparence en 2026 : soignez vos informations aux personnes (EDPB). En France, la CNIL centralise les ressources pratiques et la procédure en cas d’incident : CNIL.

8) Au‑delà du RGPD : Data Act et interopérabilité

Le Data Act impose l’interopérabilité et le switching des services cloud, avec des exigences de portabilité et de sortie plus fluides : anticipez ces engagements dans votre SLA et vos clauses de réversibilité (Commission européenne – Data Act). Pour l’IA embarquée dans votre SaaS, voyez les impacts règlementaires dans notre guide AI Act pour startups.

Erreurs fréquentes à éviter

• Confondre délais de notification : 72h = délai du responsable vers l’autorité, pas du sous‑traitant.
• Oublier les transferts indirects (outils d’analytics, support, logs).
• Ne pas publier la liste des sous‑traitants en cascade ni un mécanisme d’opposition.
• Politique de confidentialité trop générique, non alignée sur vos traitements réels.

FAQ (court)

Mon SaaS est B2B : le RGPD s’applique‑t‑il quand même ?

Oui, dès qu’il y a des données personnelles (ex. utilisateurs, employés de vos clients). Le B2B n’exonère pas du RGPD (CNIL).

Dois‑je toujours avoir un DPA ?

Oui, chaque fois que vous agissez en sous‑traitant (art. 28). Intégrez un DPA à votre contrat SaaS (EUR‑Lex).

Hébergement en UE : suis‑je exempté des CCT ?

Non si des outils externes traitent les données hors UE (support, emails, analytics). Cartographiez et, si besoin, appliquez les CCT 2021/914 (EUR‑Lex).

Faut‑il un DPO ?

Seulement si vous remplissez les critères (suivi régulier et systématique à grande échelle, etc.). Voir le guide CNIL DPO (CNIL).

Pour aller plus loin côté contractualisation, voyez nos ressources sur les clauses essentielles d’un contrat SaaS et sur les transferts hors UE post‑Schrems II.