Guide éditeurs SaaS

RGPD pour un éditeur
SaaS B2B.

Vos clients entreprises vous confient les données de leurs propres clients ou salariés à travers votre logiciel. Vis-à-vis d'eux, vous êtes le plus souvent sous-traitant au sens du RGPD — avec des obligations contractuelles précises, et un argument de vente si vous les tenez sérieusement.

La distinction clé

Sous-traitant pour vos clients, responsable pour vous-même.

Le RGPD distingue le responsable de traitement, qui décide des finalités d'un traitement, du sous-traitant, qui traite des données pour le compte d'un tiers selon ses instructions. Un éditeur SaaS B2B cumule les deux casquettes :

Sous-traitant, pour les données de vos clients

Les données que vos clients entreprises saisissent, importent ou génèrent dans votre logiciel (leurs propres clients, prospects, salariés...) ne vous appartiennent pas : c'est votre client qui reste responsable de traitement, vous n'êtes que l'outil. Vous devez donc être en mesure de signer, avec chacun de vos clients, un contrat de sous-traitance conforme à l'article 28.

Responsable, pour vos propres données

Les comptes utilisateurs de votre plateforme, votre facturation, votre CRM commercial et votre marketing (newsletter, prospection) restent vos propres traitements : c'est vous qui déterminez les finalités, donc vous qui êtes responsable de traitement et devez répondre aux droits des personnes concernées (accès, effacement, opposition...).

Le contrat de sous-traitance article 28 doit couvrir l'objet, la durée, la nature et la finalité du traitement, les obligations du sous-traitant (agir uniquement sur instruction documentée, garantir la sécurité, assister le client pour les droits des personnes et en cas de violation), et le sort des données à la fin du contrat. Toute sous-traitance ultérieure de votre part (hébergeur cloud, service d'emailing, outil d'analytics) suppose l'autorisation écrite préalable de votre client. Vous devez également tenir votre propre registre des traitements réalisés pour le compte de vos clients — voir notre guide sur le contrat de sous-traitance RGPD.

Article 32

La sécurité, un argument de vente autant qu'une obligation.

Face à des clients entreprises exigeants (souvent questionnés eux-mêmes lors d'audits fournisseurs), démontrer le sérieux de vos mesures de sécurité pèse dans la décision d'achat autant que dans votre conformité.

Chiffrement

Des données au repos et en transit, cité par le RGPD comme mesure de référence.

Contrôle d'accès

Gestion des habilitations, cloisonnement des données entre clients (multi-tenant).

Résilience & reprise

Capacité à rétablir la disponibilité des données après un incident (sauvegardes, plan de reprise).

Tests réguliers

Évaluation périodique de l'efficacité des mesures techniques et organisationnelles.

Deux points souvent posés par vos clients lors de la sélection d'un fournisseur SaaS : où vos données sont-elles hébergées, et par quels sous-traitants transitent-elles ? Si votre hébergement ou l'un de vos prestataires est situé hors de l'Union européenne, un encadrement spécifique s'applique — voir notre guide sur les transferts de données hors UE. Et si votre logiciel intègre une fonctionnalité d'IA générative ou de scoring, le RGPD ne suffit plus à couvrir le sujet : l'IA Act peut s'appliquer en complément, avec ses propres obligations de transparence.

Combien coûte un DPO externalisé ?

Trois façons de s'en occuper.

DPO interne

~70 000€/an

Recrutement, charges, congés — lourd pour une équipe produit en croissance.

Cabinet juridique

dès 1 500€/mois

Facturation horaire, délais de réponse, peu adapté au rythme d'un éditeur SaaS.

VIGIL

VIGIL

dès 99€/mois

IA H24 + juriste de magistère joignable sur demande, y compris pour vos DPA clients.

Détail complet des offres (Bouclier, Confiance, Sérénité) sur la page tarifs. Pour une approche plus large de la conformité d'une jeune structure, voir aussi notre guide RGPD pour les startups.

Vos clients vous demandent un DPA ?

VIGIL vous aide à préparer un contrat de sous-traitance type, à documenter vos mesures de sécurité et à répondre sereinement aux questionnaires de conformité de vos clients entreprises.

Faire le point avec nous

Contenu à visée informative, à jour au moment de sa rédaction. Il ne constitue pas un conseil juridique personnalisé au sens de la loi n°71-1130 du 31 décembre 1971 — chaque situation mérite une analyse dédiée.