Qu'est-ce que le RGPD ?

Le Reglement General sur la Protection des Données (RGPD) est la loi europeenne complete sur la protection des données, en vigueur depuis mai 2018. Il regit la manière dont les organisations collectent, traitent, stockent et transferent les données personnelles des personnes situees dans l'Espace Economique Europeen (EEE). Le RGPD s'applique a toute organisation qui traite des données personnelles de residents de l'EEE, quel que soit le lieu d'etablissement de l'organisation. Pour les entreprises B2B SaaS, le RGPD s'applique a la fois aux données personnelles de leurs propres employes et a toutes les données personnelles qu'elles traitent pour le compte de leurs clients.

Quelle est la difference entre un responsable du traitement et un sous-traitant au sens du RGPD ?

Un responsable du traitement determine les finalites et les moyens du traitement des données personnelles — il decide pourquoi et comment les données sont traitees. Un sous-traitant traite les données personnelles pour le compte et selon les instructions d'un responsable du traitement. En B2B SaaS, votre client (l'entreprise utilisant votre logiciel) est generalement le responsable du traitement, et vous (le fournisseur SaaS) etes le sous-traitant. Cette distinction est importante car les responsables du traitement et les sous-traitants ont des obligations differentes au titre du RGPD, et un Accord de Traitement des Données (DPA) doit regir la relation.

Qu'est-ce qu'un Accord de Traitement des Données (DPA) ?

Un Accord de Traitement des Données est un contrat juridiquement contraignant exige par l'article 28 du RGPD entre un responsable du traitement et un sous-traitant. Il precise la portee et la finalite du traitement, les types de données personnelles concernees, la duree du traitement, les obligations du sous-traitant en matiere de mesures de sécurité, de gestion des sous-traitants ulterieurs, d'assistance pour les droits des personnes concernees, de notification des violations de données et de suppression ou restitution des données a la fin du contrat. Un DPA est essentiel pour toute entreprise B2B SaaS qui traite des données personnelles pour le compte de ses clients.

Quelles sont les exigences du RGPD pour les transferts internationaux de données ?

Le chapitre V du RGPD (articles 44-49) restreint les transferts de données personnelles en dehors de l'EEE. Les transferts sont autorises uniquement lorsque : le pays de destination beneficie d'une décision d'adequation de la Commission europeenne (par exemple le cadre de protection des données UE-US) ; des garanties appropriees sont en place, telles que les Clauses Contractuelles Types (CCT) ou les Regles d'Entreprise Contraignantes (BCR) ; ou des derogations specifiques s'appliquent (consentement explicite, nécessite contractuelle, etc.). Suite a la décision Schrems II, les organisations doivent egalement realiser des analyses d'impact sur les transferts (TIA) pour verifier que le cadre juridique du pays de destination offre une protection adequate.

Quels sont les droits des personnes concernees au titre du RGPD ?

Le RGPD accorde aux individus (personnes concernees) plusieurs droits : le droit d'accès (article 15) pour obtenir une copie de leurs données personnelles ; le droit de rectification (article 16) pour corriger les données inexactes ; le droit a l'effacement (article 17), egalement connu comme le « droit a l'oubli » ; le droit a la limitation du traitement (article 18) ; le droit a la portabilite des données (article 20) pour recevoir les données dans un format lisible par machine ; le droit d'opposition (article 21) a certains types de traitement ; et le droit de ne pas faire l'objet d'une décision automatisee (article 22). En tant que sous-traitant, les entreprises SaaS doivent aider leurs clients (responsables du traitement) a satisfaire ces droits.

Quelles sont les exigences de notification des violations de données du RGPD ?

En vertu de l'article 33 du RGPD, les responsables du traitement doivent notifier l'autorite de contrôle competente dans les 72 heures suivant la prise de connaissance d'une violation de données personnelles susceptible d'engendrer un risque pour les droits et libertes des personnes. En vertu de l'article 34, si la violation est susceptible d'engendrer un risque eleve, le responsable du traitement doit egalement notifier les personnes concernees. Les sous-traitants doivent notifier le responsable du traitement sans delai indu apres avoir pris connaissance d'une violation. La notification doit decrire la nature de la violation, les catégories et le nombre approximatif de personnes concernees, les consequences probables et les mesures prises ou proposees pour y remedier.

Quelles sont les sanctions en cas de non-conformité au RGPD ?

Le RGPD impose une structure de sanctions a deux niveaux : des amendes de niveau inferieur pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial (le montant le plus eleve etant retenu) pour les manquements relatifs a la protection des données des la conception, aux registres de traitement et aux analyses d'impact ; et des amendes de niveau superieur pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial pour les violations des principes fondamentaux, des conditions de licite du traitement, des droits des personnes concernees et des regles de transfert international. Au-dela des amendes, la non-conformité peut entrainer des injonctions, des interdictions de traitement, des demandes de reparation des personnes concernees et des dommages reputationnels significatifs.

Comment la conformité RGPD favorise-t-elle les ventes entreprise ?

La conformité RGPD est un prerequis pour vendre aux entreprises europeennes. Demontrer la conformité accélère les ventes en : fournissant un DPA prêt a signer conforme aux attentes des acheteurs ; publiant la documentation de confidentialité sur votre Trust Center (liste des sous-traitants ulterieurs, documentation des flux de données, resumes d'AIPD) ; montrant les certifications validant les contrôles pertinents pour le RGPD (ISO 27001, SOC 2) ; réduisant les frictions de revue de sécurité en repondant proactivement aux questions de protection des données ; et en vous differenciant des concurrents qui ne peuvent pas demontrer une maturité equivalente en matiere de protection des données.

Conformité RGPD : ce qu'elle exige, comment l'atteindre et ce que les entreprises B2B doivent savoir

Published 7 mars 2026

By Emre Salmanoglu

Conformité RGPD : ce qu'elle exige, comment l'atteindre et ce que les entreprises B2B doivent savoir

Un guide pratique de la conformité RGPD — ce que le reglement exige, comment il s'applique aux entreprises B2B SaaS, les obligations cles concernant le traitement des données, les droits des personnes concernees, les transferts internationaux et comment demontrer la conformité aux acheteurs entreprise.

RGPD

Protection des donnees

Vie privee

Conformite

B2B SaaS

Accord de traitement des donnees

Conformité RGPD : ce qu'elle exige, comment l'atteindre et ce que les entreprises B2B doivent savoir

Le Reglement General sur la Protection des Données (RGPD) est le cadre europeen de protection des données, regissant la manière dont les organisations collectent, traitent, stockent et transferent les données personnelles des personnes situees dans l'Espace Economique Europeen. Depuis son application en mai 2018, il est devenu la référence mondiale en matiere de legislation sur la protection des données.

Pour les entreprises B2B SaaS, le RGPD n'est pas optionnel — il s'applique des lors que vous traitez des données personnelles de residents de l'EEE, que ce soit en tant que responsable du traitement (vos propres employes, visiteurs du site web, contacts marketing) ou en tant que sous-traitant (données que vos clients stockent dans votre plateforme). Comprendre vos obligations, mettre en oeuvre les contrôles requis et demontrer la conformité aux acheteurs sont essentiels pour operer sur le marche europeen.

Ce guide couvre ce que le RGPD exige, comment il s'applique aux entreprises B2B, les obligations cles de conformité et comment demontrer la conformité aux acheteurs entreprise.

Fondamentaux du RGPD

Definitions cles

Terme	Definition	Exemple B2B SaaS
Données personnelles	Toute information se rapportant a une personne physique identifiee ou identifiable	Noms d'employes dans la plateforme RH de votre client
Responsable du traitement	Determine les finalites et les moyens du traitement	Votre client (l'entreprise utilisant votre logiciel)
Sous-traitant	Traite les données pour le compte du responsable du traitement	Vous (le fournisseur SaaS)
Personne concernee	La personne dont les données sont traitees	Un employe de votre client
Traitement	Toute operation effectuee sur des données personnelles	Stockage, consultation, analyse, suppression
Autorite de contrôle	Autorite nationale de protection des données	CNIL (France), BfDI (Allemagne), ICO (Royaume-Uni)

Les six bases juridiques du traitement

L'article 6 du RGPD exige une base juridique pour chaque activité de traitement :

Consentement — La personne concernee a donne son consentement explicite pour une finalite specifique
Necessite contractuelle — Le traitement est nécessaire a l'execution d'un contrat avec la personne concernee
Obligation legale — Le traitement est impose par la loi
Interets vitaux — Le traitement est nécessaire pour protéger la vie de quelqu'un
Interet public — Le traitement est nécessaire a une mission d'interet public
Interets legitimes — Le traitement est nécessaire aux interets legitimes, mis en balance avec les droits de la personne concernee

Pour les entreprises B2B SaaS, les bases les plus courantes sont la nécessite contractuelle (traitement des données pour fournir le service) et les interets legitimes (operations commerciales, sécurité, analyses).

Principes fondamentaux (Article 5)

Tout traitement doit respecter ces principes :

Licite, loyaute et transparence — Traiter les données de manière licite, loyale et transparente
Limitation des finalites — Collecter les données pour des finalites determinees, explicites et legitimes
Minimisation des données — Ne traiter que les données nécessaires a la finalite declaree
Exactitude — Maintenir les données personnelles exactes et à jour
Limitation de la conservation — Ne conserver les données que le temps nécessaire
Integrite et confidentialité — Traiter les données de manière securisee avec des mesures techniques et organisationnelles appropriees
Responsabilite — Demontrer la conformité a tous les principes

Obligations RGPD pour les entreprises B2B SaaS

En tant que sous-traitant

Lorsque vous traitez des données pour le compte de vos clients, vos obligations comprennent :

Accord de traitement des données (Article 28)

Conclure un DPA avec chaque client precisant la portee, la finalite et la duree du traitement
Documenter les types de données personnelles et les catégories de personnes concernees
Preciser vos obligations en matiere de sécurité, de sous-traitants ulterieurs et de droits des personnes concernees

Gestion des sous-traitants ulterieurs (Article 28(2)-(4))

Obtenir l'autorisation ecrite generale ou specifique du responsable du traitement avant d'engager des sous-traitants ulterieurs
Maintenir une liste à jour des sous-traitants ulterieurs avec la description des activités de traitement
Imposer des obligations equivalentes de protection des données aux sous-traitants ulterieurs par contrat
Notifier les responsables du traitement de tout changement de sous-traitants ulterieurs avec un preavis suffisant

Mesures de sécurité (Article 32)

Mettre en oeuvre des mesures techniques et organisationnelles appropriees, incluant :
- La pseudonymisation et le chiffrement des données personnelles
- La capacite a garantir la confidentialité, l'integrite, la disponibilite et la resilience continues
- La capacite a restaurer la disponibilite et l'accès aux données apres un incident
- Des tests reguliers des mesures de sécurité

Notification des violations de données (Article 33)

Notifier le responsable du traitement sans delai indu apres avoir pris connaissance d'une violation de données personnelles
Fournir toutes les informations nécessaires pour que le responsable du traitement puisse remplir ses obligations de notification

Assistance pour les droits des personnes concernees (Article 28(3)(e))

Assister le responsable du traitement pour repondre aux demandes des personnes concernees (accès, suppression, portabilite, etc.)
Mettre en oeuvre des capacités techniques pour satisfaire ces demandes efficacement

Registre des activités de traitement (Article 30(2))

Tenir des registres des activités de traitement effectuees pour le compte des responsables du traitement
Inclure les coordonnees, les catégories de traitement, les transferts internationaux et les mesures de sécurité

En tant que responsable du traitement

Pour vos propres activités de traitement (employes, visiteurs du site web, marketing), vous etes le responsable du traitement avec des obligations supplementaires :

Realiser des Analyses d'Impact relatives a la Protection des Données (AIPD) pour les traitements a haut risque
Nommer un Delegue a la Protection des Données (DPO) si requis
Tenir un registre complet des activités de traitement (Article 30(1))
Mettre en oeuvre la protection des données des la conception et par défaut (Article 25)
Repondre directement aux demandes des personnes concernees dans un delai d'un mois

Transferts internationaux de données

Le cadre des transferts

Le RGPD restreint les transferts de données personnelles en dehors de l'EEE. Mecanismes de transfert autorises :

Decisions d'adequation (Article 45) Transferts vers des pays que la Commission europeenne a determines comme offrant une protection adequate des données. Les décisions d'adequation actuelles comprennent : Andorre, Argentine, Canada (organisations commerciales), Iles Feroe, Guernesey, Israel, Ile de Man, Japon, Jersey, Nouvelle-Zelande, Republique de Coree, Suisse, Royaume-Uni, Etats-Unis (dans le cadre du Data Privacy Framework UE-US) et Uruguay.

Clauses Contractuelles Types (Article 46(2)(c)) Conditions contractuelles pre-approuvees entre l'exportateur et l'importateur de données. Les CCT actuelles (adoptees en juin 2021) comprennent quatre modules couvrant differentes relations responsable du traitement/sous-traitant.

Regles d'Entreprise Contraignantes (Article 47) Politiques internes de protection des données approuvees par les autorites de contrôle pour les transferts intra-groupe dans les organisations multinationales.

L'impact de Schrems II

La décision Schrems II (juillet 2020) a ajoute des exigences pratiques :

Analyses d'impact sur les transferts (TIA) : évaluer si les lois du pays de destination assurent une protection adequate
Mesures supplementaires : mettre en oeuvre des mesures techniques, contractuelles ou organisationnelles supplementaires si nécessaire
Évaluation au cas par cas : évaluer chaque relation de transfert individuellement

Approche pratique pour le B2B SaaS

Cartographier tous les flux de données impliquant des transferts de données personnelles en dehors de l'EEE
Identifier la base juridique de chaque transfert (adequation, CCT, BCR)
Realiser des TIA pour les transferts vers des pays non adequats
Mettre en oeuvre des mesures supplementaires si nécessaire (chiffrement, contrôles d'accès)
Tout documenter pour la responsabilite et les audits

Droits des personnes concernees

Vue d'ensemble des droits

Droit	Article	Delai de réponse du responsable	Obligation du sous-traitant
Accès	15	Un mois	Assister le responsable
Rectification	16	Un mois	Assister le responsable
Effacement	17	Un mois	Assister le responsable
Limitation	18	Un mois	Assister le responsable
Portabilite	20	Un mois	Assister le responsable
Opposition	21	Sans delai indu	Assister le responsable

Mise en oeuvre pour les entreprises SaaS

En tant que sous-traitant, vous avez besoin de capacités techniques pour :

Exporter les données dans un format structure et lisible par machine (portabilite)
Supprimer les données de manière exhaustive dans tous les systemes, sauvegardes et sous-traitants ulterieurs (effacement)
Limiter le traitement — marquer les données comme limitees et cesser de les traiter
Localiser toutes les données relatives a une personne specifique sur votre plateforme
Fournir les données aux responsables du traitement dans des delais leur permettant de respecter leur échéance d'un mois

Gestion des violations de données

Le delai de 72 heures

Lorsqu'une violation se produit :

Detection : identifier la violation grace a la surveillance, aux signalements ou aux alertes
Évaluation : determiner la nature, la portee et la gravite de la violation
Notification au responsable du traitement (obligation du sous-traitant) : notifier sans delai indu
Notification a l'autorite (obligation du responsable du traitement) : dans les 72 heures suivant la prise de connaissance
Notification aux personnes (si risque eleve) : sans delai indu
Remediation : contenir la violation et mettre en oeuvre des mesures correctives
Documentation : enregistrer toutes les violations, quelle que soit leur gravite

Contenu de la notification de violation

La notification a l'autorite de contrôle doit inclure :

La nature de la violation (confidentialité, integrite ou disponibilite)
Les catégories et le nombre approximatif de personnes concernees
Les catégories et le nombre approximatif d'enregistrements de données concernes
Le nom et les coordonnees du DPO ou autre point de contact
Les consequences probables de la violation
Les mesures prises ou proposees pour remedier a la violation

Demontrer la conformité RGPD

Documentation

Maintenir une documentation exhaustive :

Registre des activités de traitement (ROPA) — Article 30
Analyses d'Impact relatives a la Protection des Données — Article 35
Accords de traitement des données avec tous les sous-traitants et sous-traitants ulterieurs
Documentation des transferts internationaux (CCT, TIA, mesures supplementaires)
Politiques de confidentialité et mentions d'information
Registre des violations de données
Registres de consentement (lorsque le consentement est la base juridique)
Designation et coordonnees du DPO (le cas echeant)

Certifications et normes

Bien que le RGPD n'impose pas de certifications specifiques, celles-ci demontrent des contrôles pertinents :

ISO 27001 — Systeme de management de la sécurité de l'information couvrant les mesures de sécurité pertinentes pour le RGPD
ISO 27701 — Extension de gestion des informations relatives a la vie privee d'ISO 27001, specifiquement concue pour l'alignement avec le RGPD
SOC 2 — Critères de services de confiance couvrant la sécurité, la disponibilite, l'integrite du traitement, la confidentialité et la vie privee
Certification RGPD (Article 42) — Mecanismes de certification emergents via des organismes accredites

Publication sur le Trust Center

Publier les preuves de conformité RGPD sur votre Trust Center :

Modèle de DPA disponible en téléchargement ou signature electronique
Liste des sous-traitants ulterieurs avec descriptions et catégories de données
Politique de confidentialité et documentation du traitement des données
Documentation des flux de données montrant ou les données sont traitees et stockees
Analyses d'impact sur les transferts pour les transferts hors EEE
Statut des certifications (ISO 27001, SOC 2, ISO 27701)
Coordonnees du DPO

Erreurs courantes de conformité RGPD

Traiter le RGPD comme un projet ponctuel

La conformité RGPD est continue. Les flux de données changent, des sous-traitants ulterieurs sont ajoutes, les reglementations evoluent et de nouvelles orientations sont publiees. Construisez des processus de conformité continue, pas des listes de contrôle ponctuelles.

Ignorer les obligations relatives aux sous-traitants ulterieurs

Votre conformité RGPD n'est aussi solide que votre chaîne de sous-traitants. Maintenez des listes de sous-traitants ulterieurs à jour, assurez-vous que des DPA sont en place et notifiez les responsables du traitement des changements.

Processus inadequats pour les demandes des personnes concernees

De nombreuses entreprises B2B SaaS manquent de processus efficaces pour traiter les demandes des personnes concernees. Developpez des capacités techniques d'export, de suppression et de limitation des données avant d'en avoir besoin.

Negliger la minimisation des données

Collecter et conserver plus de données que nécessaire augmente a la fois la charge de conformité et le risque en cas de violation. Mettez en place des politiques de retention des données et revoyez regulierement les données dont vous avez reellement besoin.

Supposer que le consentement est toujours requis

Le consentement n'est qu'une des six bases juridiques. Pour le B2B SaaS, la nécessite contractuelle et les interets legitimes sont souvent des bases de traitement plus appropriees et pratiques.

Comment Orbiq accompagne la conformité RGPD

Trust Center : publiez votre posture de conformité RGPD — DPA, liste de sous-traitants ulterieurs, documentation de confidentialité et statut des certifications pour le libre-service des acheteurs
Surveillance continue : suivez les contrôles pertinents pour le RGPD a travers ISO 27001, SOC 2 et les exigences de confidentialité
Gestion des preuves : centralisez les DPA, AIPD, la documentation des transferts et les registres de violations dans une plateforme de conformité unique
Questionnaires assistes par l'IA : repondez automatiquement aux questions des questionnaires de sécurité liees au RGPD a partir de vos contrôles documentes

Pour aller plus loin

Vous souhaitez le guide complet de conformité 2026 ? Consultez notre Conformité RGPD : Guide complet pour 2026 (Articles 28, 32, 33, 34) — avec les dernières données d'application, une checklist étape par étape et comment démontrer la conformité en tant que responsable et sous-traitant.

Souverainete des données — Comprendre le contrôle juridictionnel sur les données personnelles
Trust Center — Publier les preuves de conformité RGPD pour les acheteurs
Politique de sécurité de l'information — Le cadre de politique soutenant les mesures de l'article 32 du RGPD
Évaluation des risques fournisseurs — Comment les acheteurs evaluent la conformité RGPD lors des achats

Ce guide est maintenu par l'équipe Orbiq. Derniere mise à jour : mars 2026.