Qu'est-ce que le RGPD ?

Le Reglement General sur la Protection des Donnees (RGPD) est la loi europeenne complete sur la protection des donnees, en vigueur depuis mai 2018. Il regit la maniere dont les organisations collectent, traitent, stockent et transferent les donnees personnelles des personnes situees dans l'Espace Economique Europeen (EEE). Le RGPD s'applique a toute organisation qui traite des donnees personnelles de residents de l'EEE, quel que soit le lieu d'etablissement de l'organisation. Pour les entreprises B2B SaaS, le RGPD s'applique a la fois aux donnees personnelles de leurs propres employes et a toutes les donnees personnelles qu'elles traitent pour le compte de leurs clients.

Quelle est la difference entre un responsable du traitement et un sous-traitant au sens du RGPD ?

Un responsable du traitement determine les finalites et les moyens du traitement des donnees personnelles — il decide pourquoi et comment les donnees sont traitees. Un sous-traitant traite les donnees personnelles pour le compte et selon les instructions d'un responsable du traitement. En B2B SaaS, votre client (l'entreprise utilisant votre logiciel) est generalement le responsable du traitement, et vous (le fournisseur SaaS) etes le sous-traitant. Cette distinction est importante car les responsables du traitement et les sous-traitants ont des obligations differentes au titre du RGPD, et un Accord de Traitement des Donnees (DPA) doit regir la relation.

Qu'est-ce qu'un Accord de Traitement des Donnees (DPA) ?

Un Accord de Traitement des Donnees est un contrat juridiquement contraignant exige par l'article 28 du RGPD entre un responsable du traitement et un sous-traitant. Il precise la portee et la finalite du traitement, les types de donnees personnelles concernees, la duree du traitement, les obligations du sous-traitant en matiere de mesures de securite, de gestion des sous-traitants ulterieurs, d'assistance pour les droits des personnes concernees, de notification des violations de donnees et de suppression ou restitution des donnees a la fin du contrat. Un DPA est essentiel pour toute entreprise B2B SaaS qui traite des donnees personnelles pour le compte de ses clients.

Quelles sont les exigences du RGPD pour les transferts internationaux de donnees ?

Le chapitre V du RGPD (articles 44-49) restreint les transferts de donnees personnelles en dehors de l'EEE. Les transferts sont autorises uniquement lorsque : le pays de destination beneficie d'une decision d'adequation de la Commission europeenne (par exemple le cadre de protection des donnees UE-US) ; des garanties appropriees sont en place, telles que les Clauses Contractuelles Types (CCT) ou les Regles d'Entreprise Contraignantes (BCR) ; ou des derogations specifiques s'appliquent (consentement explicite, necessite contractuelle, etc.). Suite a la decision Schrems II, les organisations doivent egalement realiser des analyses d'impact sur les transferts (TIA) pour verifier que le cadre juridique du pays de destination offre une protection adequate.

Quels sont les droits des personnes concernees au titre du RGPD ?

Le RGPD accorde aux individus (personnes concernees) plusieurs droits : le droit d'acces (article 15) pour obtenir une copie de leurs donnees personnelles ; le droit de rectification (article 16) pour corriger les donnees inexactes ; le droit a l'effacement (article 17), egalement connu comme le « droit a l'oubli » ; le droit a la limitation du traitement (article 18) ; le droit a la portabilite des donnees (article 20) pour recevoir les donnees dans un format lisible par machine ; le droit d'opposition (article 21) a certains types de traitement ; et le droit de ne pas faire l'objet d'une decision automatisee (article 22). En tant que sous-traitant, les entreprises SaaS doivent aider leurs clients (responsables du traitement) a satisfaire ces droits.

Quelles sont les exigences de notification des violations de donnees du RGPD ?

En vertu de l'article 33 du RGPD, les responsables du traitement doivent notifier l'autorite de controle competente dans les 72 heures suivant la prise de connaissance d'une violation de donnees personnelles susceptible d'engendrer un risque pour les droits et libertes des personnes. En vertu de l'article 34, si la violation est susceptible d'engendrer un risque eleve, le responsable du traitement doit egalement notifier les personnes concernees. Les sous-traitants doivent notifier le responsable du traitement sans delai indu apres avoir pris connaissance d'une violation. La notification doit decrire la nature de la violation, les categories et le nombre approximatif de personnes concernees, les consequences probables et les mesures prises ou proposees pour y remedier.

Quelles sont les sanctions en cas de non-conformite au RGPD ?

Le RGPD impose une structure de sanctions a deux niveaux : des amendes de niveau inferieur pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial (le montant le plus eleve etant retenu) pour les manquements relatifs a la protection des donnees des la conception, aux registres de traitement et aux analyses d'impact ; et des amendes de niveau superieur pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial pour les violations des principes fondamentaux, des conditions de licite du traitement, des droits des personnes concernees et des regles de transfert international. Au-dela des amendes, la non-conformite peut entrainer des injonctions, des interdictions de traitement, des demandes de reparation des personnes concernees et des dommages reputationnels significatifs.

Comment la conformite RGPD favorise-t-elle les ventes entreprise ?

La conformite RGPD est un prerequis pour vendre aux entreprises europeennes. Demontrer la conformite accelere les ventes en : fournissant un DPA pret a signer conforme aux attentes des acheteurs ; publiant la documentation de confidentialite sur votre Trust Center (liste des sous-traitants ulterieurs, documentation des flux de donnees, resumes d'AIPD) ; montrant les certifications validant les controles pertinents pour le RGPD (ISO 27001, SOC 2) ; reduisant les frictions de revue de securite en repondant proactivement aux questions de protection des donnees ; et en vous differenciant des concurrents qui ne peuvent pas demontrer une maturite equivalente en matiere de protection des donnees.

Conformite RGPD : ce qu'elle exige, comment l'atteindre et ce que les entreprises B2B doivent savoir

Published 7 mars 2026

By Emre Salmanoglu

Conformite RGPD : ce qu'elle exige, comment l'atteindre et ce que les entreprises B2B doivent savoir

Un guide pratique de la conformite RGPD — ce que le reglement exige, comment il s'applique aux entreprises B2B SaaS, les obligations cles concernant le traitement des donnees, les droits des personnes concernees, les transferts internationaux et comment demontrer la conformite aux acheteurs entreprise.

RGPD

Protection des donnees

Vie privee

Conformite

B2B SaaS

Accord de traitement des donnees

Conformite RGPD : ce qu'elle exige, comment l'atteindre et ce que les entreprises B2B doivent savoir

Le Reglement General sur la Protection des Donnees (RGPD) est le cadre europeen de protection des donnees, regissant la maniere dont les organisations collectent, traitent, stockent et transferent les donnees personnelles des personnes situees dans l'Espace Economique Europeen. Depuis son application en mai 2018, il est devenu la reference mondiale en matiere de legislation sur la protection des donnees.

Pour les entreprises B2B SaaS, le RGPD n'est pas optionnel — il s'applique des lors que vous traitez des donnees personnelles de residents de l'EEE, que ce soit en tant que responsable du traitement (vos propres employes, visiteurs du site web, contacts marketing) ou en tant que sous-traitant (donnees que vos clients stockent dans votre plateforme). Comprendre vos obligations, mettre en oeuvre les controles requis et demontrer la conformite aux acheteurs sont essentiels pour operer sur le marche europeen.

Ce guide couvre ce que le RGPD exige, comment il s'applique aux entreprises B2B, les obligations cles de conformite et comment demontrer la conformite aux acheteurs entreprise.

Fondamentaux du RGPD

Definitions cles

Terme	Definition	Exemple B2B SaaS
Donnees personnelles	Toute information se rapportant a une personne physique identifiee ou identifiable	Noms d'employes dans la plateforme RH de votre client
Responsable du traitement	Determine les finalites et les moyens du traitement	Votre client (l'entreprise utilisant votre logiciel)
Sous-traitant	Traite les donnees pour le compte du responsable du traitement	Vous (le fournisseur SaaS)
Personne concernee	La personne dont les donnees sont traitees	Un employe de votre client
Traitement	Toute operation effectuee sur des donnees personnelles	Stockage, consultation, analyse, suppression
Autorite de controle	Autorite nationale de protection des donnees	CNIL (France), BfDI (Allemagne), ICO (Royaume-Uni)

Les six bases juridiques du traitement

L'article 6 du RGPD exige une base juridique pour chaque activite de traitement :

Consentement — La personne concernee a donne son consentement explicite pour une finalite specifique
Necessite contractuelle — Le traitement est necessaire a l'execution d'un contrat avec la personne concernee
Obligation legale — Le traitement est impose par la loi
Interets vitaux — Le traitement est necessaire pour proteger la vie de quelqu'un
Interet public — Le traitement est necessaire a une mission d'interet public
Interets legitimes — Le traitement est necessaire aux interets legitimes, mis en balance avec les droits de la personne concernee

Pour les entreprises B2B SaaS, les bases les plus courantes sont la necessite contractuelle (traitement des donnees pour fournir le service) et les interets legitimes (operations commerciales, securite, analyses).

Principes fondamentaux (Article 5)

Tout traitement doit respecter ces principes :

Licite, loyaute et transparence — Traiter les donnees de maniere licite, loyale et transparente
Limitation des finalites — Collecter les donnees pour des finalites determinees, explicites et legitimes
Minimisation des donnees — Ne traiter que les donnees necessaires a la finalite declaree
Exactitude — Maintenir les donnees personnelles exactes et a jour
Limitation de la conservation — Ne conserver les donnees que le temps necessaire
Integrite et confidentialite — Traiter les donnees de maniere securisee avec des mesures techniques et organisationnelles appropriees
Responsabilite — Demontrer la conformite a tous les principes

Obligations RGPD pour les entreprises B2B SaaS

En tant que sous-traitant

Lorsque vous traitez des donnees pour le compte de vos clients, vos obligations comprennent :

Accord de traitement des donnees (Article 28)

Conclure un DPA avec chaque client precisant la portee, la finalite et la duree du traitement
Documenter les types de donnees personnelles et les categories de personnes concernees
Preciser vos obligations en matiere de securite, de sous-traitants ulterieurs et de droits des personnes concernees

Gestion des sous-traitants ulterieurs (Article 28(2)-(4))

Obtenir l'autorisation ecrite generale ou specifique du responsable du traitement avant d'engager des sous-traitants ulterieurs
Maintenir une liste a jour des sous-traitants ulterieurs avec la description des activites de traitement
Imposer des obligations equivalentes de protection des donnees aux sous-traitants ulterieurs par contrat
Notifier les responsables du traitement de tout changement de sous-traitants ulterieurs avec un preavis suffisant

Mesures de securite (Article 32)

Mettre en oeuvre des mesures techniques et organisationnelles appropriees, incluant :
- La pseudonymisation et le chiffrement des donnees personnelles
- La capacite a garantir la confidentialite, l'integrite, la disponibilite et la resilience continues
- La capacite a restaurer la disponibilite et l'acces aux donnees apres un incident
- Des tests reguliers des mesures de securite

Notification des violations de donnees (Article 33)

Notifier le responsable du traitement sans delai indu apres avoir pris connaissance d'une violation de donnees personnelles
Fournir toutes les informations necessaires pour que le responsable du traitement puisse remplir ses obligations de notification

Assistance pour les droits des personnes concernees (Article 28(3)(e))

Assister le responsable du traitement pour repondre aux demandes des personnes concernees (acces, suppression, portabilite, etc.)
Mettre en oeuvre des capacites techniques pour satisfaire ces demandes efficacement

Registre des activites de traitement (Article 30(2))

Tenir des registres des activites de traitement effectuees pour le compte des responsables du traitement
Inclure les coordonnees, les categories de traitement, les transferts internationaux et les mesures de securite

En tant que responsable du traitement

Pour vos propres activites de traitement (employes, visiteurs du site web, marketing), vous etes le responsable du traitement avec des obligations supplementaires :

Realiser des Analyses d'Impact relatives a la Protection des Donnees (AIPD) pour les traitements a haut risque
Nommer un Delegue a la Protection des Donnees (DPO) si requis
Tenir un registre complet des activites de traitement (Article 30(1))
Mettre en oeuvre la protection des donnees des la conception et par defaut (Article 25)
Repondre directement aux demandes des personnes concernees dans un delai d'un mois

Transferts internationaux de donnees

Le cadre des transferts

Le RGPD restreint les transferts de donnees personnelles en dehors de l'EEE. Mecanismes de transfert autorises :

Decisions d'adequation (Article 45) Transferts vers des pays que la Commission europeenne a determines comme offrant une protection adequate des donnees. Les decisions d'adequation actuelles comprennent : Andorre, Argentine, Canada (organisations commerciales), Iles Feroe, Guernesey, Israel, Ile de Man, Japon, Jersey, Nouvelle-Zelande, Republique de Coree, Suisse, Royaume-Uni, Etats-Unis (dans le cadre du Data Privacy Framework UE-US) et Uruguay.

Clauses Contractuelles Types (Article 46(2)(c)) Conditions contractuelles pre-approuvees entre l'exportateur et l'importateur de donnees. Les CCT actuelles (adoptees en juin 2021) comprennent quatre modules couvrant differentes relations responsable du traitement/sous-traitant.

Regles d'Entreprise Contraignantes (Article 47) Politiques internes de protection des donnees approuvees par les autorites de controle pour les transferts intra-groupe dans les organisations multinationales.

L'impact de Schrems II

La decision Schrems II (juillet 2020) a ajoute des exigences pratiques :

Analyses d'impact sur les transferts (TIA) : evaluer si les lois du pays de destination assurent une protection adequate
Mesures supplementaires : mettre en oeuvre des mesures techniques, contractuelles ou organisationnelles supplementaires si necessaire
Evaluation au cas par cas : evaluer chaque relation de transfert individuellement

Approche pratique pour le B2B SaaS

Cartographier tous les flux de donnees impliquant des transferts de donnees personnelles en dehors de l'EEE
Identifier la base juridique de chaque transfert (adequation, CCT, BCR)
Realiser des TIA pour les transferts vers des pays non adequats
Mettre en oeuvre des mesures supplementaires si necessaire (chiffrement, controles d'acces)
Tout documenter pour la responsabilite et les audits

Droits des personnes concernees

Vue d'ensemble des droits

Droit	Article	Delai de reponse du responsable	Obligation du sous-traitant
Acces	15	Un mois	Assister le responsable
Rectification	16	Un mois	Assister le responsable
Effacement	17	Un mois	Assister le responsable
Limitation	18	Un mois	Assister le responsable
Portabilite	20	Un mois	Assister le responsable
Opposition	21	Sans delai indu	Assister le responsable

Mise en oeuvre pour les entreprises SaaS

En tant que sous-traitant, vous avez besoin de capacites techniques pour :

Exporter les donnees dans un format structure et lisible par machine (portabilite)
Supprimer les donnees de maniere exhaustive dans tous les systemes, sauvegardes et sous-traitants ulterieurs (effacement)
Limiter le traitement — marquer les donnees comme limitees et cesser de les traiter
Localiser toutes les donnees relatives a une personne specifique sur votre plateforme
Fournir les donnees aux responsables du traitement dans des delais leur permettant de respecter leur echeance d'un mois

Gestion des violations de donnees

Le delai de 72 heures

Lorsqu'une violation se produit :

Detection : identifier la violation grace a la surveillance, aux signalements ou aux alertes
Evaluation : determiner la nature, la portee et la gravite de la violation
Notification au responsable du traitement (obligation du sous-traitant) : notifier sans delai indu
Notification a l'autorite (obligation du responsable du traitement) : dans les 72 heures suivant la prise de connaissance
Notification aux personnes (si risque eleve) : sans delai indu
Remediation : contenir la violation et mettre en oeuvre des mesures correctives
Documentation : enregistrer toutes les violations, quelle que soit leur gravite

Contenu de la notification de violation

La notification a l'autorite de controle doit inclure :

La nature de la violation (confidentialite, integrite ou disponibilite)
Les categories et le nombre approximatif de personnes concernees
Les categories et le nombre approximatif d'enregistrements de donnees concernes
Le nom et les coordonnees du DPO ou autre point de contact
Les consequences probables de la violation
Les mesures prises ou proposees pour remedier a la violation

Demontrer la conformite RGPD

Documentation

Maintenir une documentation exhaustive :

Registre des activites de traitement (ROPA) — Article 30
Analyses d'Impact relatives a la Protection des Donnees — Article 35
Accords de traitement des donnees avec tous les sous-traitants et sous-traitants ulterieurs
Documentation des transferts internationaux (CCT, TIA, mesures supplementaires)
Politiques de confidentialite et mentions d'information
Registre des violations de donnees
Registres de consentement (lorsque le consentement est la base juridique)
Designation et coordonnees du DPO (le cas echeant)

Certifications et normes

Bien que le RGPD n'impose pas de certifications specifiques, celles-ci demontrent des controles pertinents :

ISO 27001 — Systeme de management de la securite de l'information couvrant les mesures de securite pertinentes pour le RGPD
ISO 27701 — Extension de gestion des informations relatives a la vie privee d'ISO 27001, specifiquement concue pour l'alignement avec le RGPD
SOC 2 — Criteres de services de confiance couvrant la securite, la disponibilite, l'integrite du traitement, la confidentialite et la vie privee
Certification RGPD (Article 42) — Mecanismes de certification emergents via des organismes accredites

Publication sur le Trust Center

Publier les preuves de conformite RGPD sur votre Trust Center :

Modele de DPA disponible en telechargement ou signature electronique
Liste des sous-traitants ulterieurs avec descriptions et categories de donnees
Politique de confidentialite et documentation du traitement des donnees
Documentation des flux de donnees montrant ou les donnees sont traitees et stockees
Analyses d'impact sur les transferts pour les transferts hors EEE
Statut des certifications (ISO 27001, SOC 2, ISO 27701)
Coordonnees du DPO

Erreurs courantes de conformite RGPD

Traiter le RGPD comme un projet ponctuel

La conformite RGPD est continue. Les flux de donnees changent, des sous-traitants ulterieurs sont ajoutes, les reglementations evoluent et de nouvelles orientations sont publiees. Construisez des processus de conformite continue, pas des listes de controle ponctuelles.

Ignorer les obligations relatives aux sous-traitants ulterieurs

Votre conformite RGPD n'est aussi solide que votre chaine de sous-traitants. Maintenez des listes de sous-traitants ulterieurs a jour, assurez-vous que des DPA sont en place et notifiez les responsables du traitement des changements.

Processus inadequats pour les demandes des personnes concernees

De nombreuses entreprises B2B SaaS manquent de processus efficaces pour traiter les demandes des personnes concernees. Developpez des capacites techniques d'export, de suppression et de limitation des donnees avant d'en avoir besoin.

Negliger la minimisation des donnees

Collecter et conserver plus de donnees que necessaire augmente a la fois la charge de conformite et le risque en cas de violation. Mettez en place des politiques de retention des donnees et revoyez regulierement les donnees dont vous avez reellement besoin.

Supposer que le consentement est toujours requis

Le consentement n'est qu'une des six bases juridiques. Pour le B2B SaaS, la necessite contractuelle et les interets legitimes sont souvent des bases de traitement plus appropriees et pratiques.

Comment Orbiq accompagne la conformite RGPD

Trust Center : publiez votre posture de conformite RGPD — DPA, liste de sous-traitants ulterieurs, documentation de confidentialite et statut des certifications pour le libre-service des acheteurs
Surveillance continue : suivez les controles pertinents pour le RGPD a travers ISO 27001, SOC 2 et les exigences de confidentialite
Gestion des preuves : centralisez les DPA, AIPD, la documentation des transferts et les registres de violations dans une plateforme de conformite unique
Questionnaires assistes par l'IA : repondez automatiquement aux questions des questionnaires de securite liees au RGPD a partir de vos controles documentes

Pour aller plus loin

Vous souhaitez le guide complet de conformité 2026 ? Consultez notre Conformité RGPD : Guide complet pour 2026 (Articles 28, 32, 33, 34) — avec les dernières données d'application, une checklist étape par étape et comment démontrer la conformité en tant que responsable et sous-traitant.

Souverainete des donnees — Comprendre le controle juridictionnel sur les donnees personnelles
Trust Center — Publier les preuves de conformite RGPD pour les acheteurs
Politique de securite de l'information — Le cadre de politique soutenant les mesures de l'article 32 du RGPD
Evaluation des risques fournisseurs — Comment les acheteurs evaluent la conformite RGPD lors des achats

Ce guide est maintenu par l'equipe Orbiq. Derniere mise a jour : mars 2026.