Checklist de conformité RGPD pour les entreprises SaaS
Une checklist de conformité RGPD étape par étape conçue pour les équipes SaaS. Couvre la documentation, les droits des personnes concernées, la gestion des sous-traitants et le suivi continu pour ne rien laisser passer.
GRCTrail Team
La conformité RGPD n’est pas facultative pour les entreprises SaaS — et peu importe que votre siège social soit à Berlin ou à Boston. Si votre produit touche des données personnelles de quiconque dans l’Espace économique européen, le règlement s’applique à vous.
La sanction en cas de non-conformité ? Des amendes pouvant atteindre 20 millions d’euros ou 4 % de votre chiffre d’affaires annuel mondial, selon le montant le plus élevé. Mais les amendes ne sont qu’une partie de l’histoire. Un seul manquement à la conformité peut bloquer des contrats entreprise, déclencher une perte de clients et mettre votre entreprise sous les projecteurs pour les mauvaises raisons.
La bonne nouvelle : la conformité RGPD est tout à fait gérable une fois décomposée en étapes concrètes. Cette checklist offre aux équipes SaaS — que vous soyez une startup de 5 personnes ou une scale-up de 200 personnes — un chemin clair de « on devrait probablement s’y intéresser » à une conformité démontrable et prête pour un audit.
À qui s’adresse cette checklist
Ce guide est rédigé pour les CTO, DPD (Délégués à la Protection des Données) et Responsables Sécurité des entreprises SaaS. Il part du principe que vous construisez ou gérez un produit qui traite des données personnelles — comptes utilisateurs, analyses, tickets de support client, détails de paiement, ou tout autre élément permettant d’identifier une personne physique.
Si vous êtes une entreprise SaaS B2B, vous pourriez penser que le RGPD ne concerne que les produits destinés aux consommateurs. C’est une idée fausse courante. Les employés de vos clients sont aussi des personnes concernées. Tout comme vos propres employés, les visiteurs de votre site web et toute personne dont les données transitent par votre plateforme.
La checklist de conformité RGPD
Fondements juridiques
Identifiez votre base juridique pour chaque activité de traitement. Le RGPD exige que chaque instance de traitement de données personnelles dispose d’un fondement juridique valide. Pour la plupart des entreprises SaaS, les bases pertinentes sont la nécessité contractuelle (traitement nécessaire pour fournir votre service), l’intérêt légitime (analyses, prévention de la fraude) et le consentement (emails marketing, cookies). Documentez quelle base s’applique à chaque activité — ne choisissez pas le consentement par défaut pour tout. Consultez notre guide détaillé sur les six bases juridiques pour comprendre laquelle convient à chaque cas d’usage.
Déterminez si vous avez besoin d’un Délégué à la Protection des Données. L’article 37 impose un DPD si vos activités principales impliquent le traitement à grande échelle de catégories particulières de données ou le suivi systématique de personnes. Même si vous n’êtes pas légalement tenu d’en désigner un, avoir une personne nommée responsable de la vie privée est d’une aide considérable. Consultez notre guide sur le rôle du DPD pour connaître tous les critères.
Auditez vos mécanismes de transfert international de données. Si des données quittent l’EEE — et pour la plupart des entreprises SaaS utilisant une infrastructure basée aux États-Unis, c’est le cas — vous avez besoin d’un mécanisme de transfert valide. Le Cadre de protection des données UE-États-Unis couvre de nombreux fournisseurs américains, mais vous devez vérifier le statut de chaque sous-traitant. Les Clauses Contractuelles Types restent la solution de repli pour les transferts vers d’autres pays. Notre guide sur les transferts internationaux de données détaille les options disponibles.
Examinez votre statut de responsable du traitement vs. sous-traitant. Pour chaque activité de traitement, déterminez si vous agissez en tant que responsable du traitement (vous décidez pourquoi et comment les données sont traitées) ou en tant que sous-traitant (vous traitez les données pour le compte d’un client). Cette distinction affecte vos obligations, vos contrats et votre responsabilité.
Documentation
Créez et maintenez votre Registre des Activités de Traitement (RAT). L’article 30 vous oblige à documenter chaque activité de traitement, incluant les finalités, les catégories de données, les destinataires, les durées de conservation et les mesures de sécurité. Ce n’est pas un exercice ponctuel — votre RAT doit refléter ce que vous faites réellement aujourd’hui, pas ce que vous faisiez il y a six mois. Notre guide du RAT couvre les exigences exactes et comment maintenir votre registre à jour.
Rédigez ou mettez à jour votre avis de confidentialité. Les articles 13 et 14 énumèrent les informations spécifiques que vous devez fournir aux personnes concernées. Cela comprend qui vous êtes, quelles données vous collectez, pourquoi vous les collectez, avec qui vous les partagez, combien de temps vous les conservez et quels droits les personnes ont. Un copier-coller de l’avis de confidentialité d’une autre entreprise ne suffit pas — le vôtre doit refléter fidèlement votre traitement. Consultez notre guide des exigences relatives aux avis de confidentialité pour la liste complète des éléments obligatoires.
Établissez des Accords de Traitement de Données avec chaque sous-traitant. Si vous utilisez des services tiers qui traitent des données personnelles pour votre compte — fournisseurs d’hébergement, plateformes d’email, outils d’analyse, systèmes CRM — vous avez besoin d’un DPA avec chacun d’eux. L’article 28 définit les clauses obligatoires. Notre guide DPA explique ce qu’il faut inclure et quels signaux d’alerte surveiller.
Définissez votre calendrier de conservation des données. Le principe de limitation de la conservation du RGPD signifie que vous ne pouvez pas conserver indéfiniment des données personnelles « au cas où ». Vous avez besoin de durées de conservation documentées pour chaque catégorie de données, avec une justification pour chacune. Notre guide sur la conservation des données comprend un modèle pratique pour les entreprises SaaS.
Droits et processus
Mettez en place un processus de traitement des Demandes d’Accès des Personnes Concernées. Toute personne dont vous traitez les données peut demander à les consulter — et vous avez 30 jours pour répondre. Si vous n’avez pas de processus prêt avant l’arrivée de la première demande, vous serez pris au dépourvu. Vous avez besoin d’une vérification d’identité, d’une collecte de données dans tous vos systèmes, de procédures de révision et d’un format de réponse. Notre guide DSAR couvre le processus de bout en bout.
Mettez en oeuvre la collecte du consentement lorsque c’est nécessaire. Lorsque le consentement est votre base juridique — typiquement pour les communications marketing et les cookies non essentiels — il doit être donné librement, être spécifique, éclairé et sans ambiguïté. Les cases pré-cochées ne comptent pas. Le consentement groupé ne compte pas. Et vous devez rendre le retrait du consentement aussi simple que son octroi. Consultez notre guide sur la gestion du consentement pour les exigences.
Créez un plan de réponse aux violations de données. Lorsqu’une violation de données personnelles survient, vous avez 72 heures pour notifier votre autorité de contrôle — et potentiellement moins de temps pour notifier les personnes concernées si la violation présente un risque élevé pour leurs droits. Disposer d’un plan de réponse documenté avec des rôles clairs, des modèles de communication et des parcours d’escalade est essentiel. Notre guide sur la notification de violation de données détaille le calendrier et le processus.
Permettez la portabilité et l’effacement des données. Les personnes concernées ont le droit de recevoir leurs données dans un format structuré et lisible par machine (portabilité) et le droit de faire effacer leurs données (effacement, aussi appelé « droit à l’oubli »). Intégrez ces fonctionnalités dans votre produit plutôt que de les traiter manuellement à chaque fois.
Évaluation des risques
Réalisez des Analyses d’Impact relatives à la Protection des Données pour les traitements à haut risque. Les AIPD sont obligatoires lorsque votre traitement est susceptible d’entraîner un risque élevé pour les personnes — pensez au profilage à grande échelle, à la prise de décision automatisée ou au traitement de données sensibles. Même lorsqu’elles ne sont pas obligatoires, une AIPD est un moyen structuré d’identifier et d’atténuer les risques liés à la vie privée avant de lancer une fonctionnalité. Notre guide AIPD comprend un processus étape par étape.
Cartographiez vos flux de données et vos sous-traitants. Vous ne pouvez pas protéger des données si vous ne savez pas où elles vont. Créez une carte visuelle montrant quelles données entrent dans votre système, où elles sont stockées, qui peut y accéder, quels tiers les reçoivent et où elles traversent des frontières. Cette cartographie alimente directement votre RAT, vos DPA et votre avis de confidentialité.
Opérationnel
Formez votre équipe aux fondamentaux du RGPD. La conformité n’est pas uniquement la responsabilité de l’équipe juridique ou sécurité. Les développeurs doivent comprendre la minimisation des données et la protection de la vie privée dès la conception. Les équipes commerciales doivent savoir ce qu’elles peuvent promettre concernant le traitement des données. Les équipes support doivent reconnaître quand quelqu’un fait une demande d’exercice de droits. Organisez des formations au minimum annuellement, et intégrez le RGPD dans l’accueil des nouveaux employés.
Mettez en oeuvre la protection de la vie privée dès la conception et par défaut. L’article 25 exige que vous intégriez la protection des données dans votre processus de développement — pas que vous l’ajoutiez après coup. Cela signifie ne collecter que les données nécessaires, pseudonymiser lorsque c’est possible, restreindre l’accès par défaut et considérer les implications en matière de vie privée lors de la planification produit.
Mettez en place un suivi et une révision continus. La conformité RGPD n’est pas un projet avec une date de fin. Programmez des revues trimestrielles de votre RAT, des audits annuels de vos DPA et des vérifications régulières de vos activités de traitement. Lorsque vous lancez de nouvelles fonctionnalités, ajoutez de nouveaux sous-traitants ou entrez sur de nouveaux marchés, réévaluez votre posture de conformité.
Documentez les preuves de conformité. L’article 5(2) établit le principe de responsabilité — vous devez être en mesure de démontrer votre conformité, pas seulement la revendiquer. Conservez des traces de vos décisions, de vos évaluations, de vos formations et de vos revues. Si une autorité de contrôle se présente, « nous sommes conformes » ne suffit pas. Vous avez besoin de preuves.
Erreurs courantes des équipes SaaS
Traiter le RGPD comme un projet ponctuel. De nombreuses équipes font un effort de conformité, cochent toutes les cases, puis passent à autre chose. Six mois plus tard, elles ont ajouté trois nouveaux sous-traitants, lancé deux nouvelles fonctionnalités, et leur documentation ne reflète plus la réalité. Le RGPD nécessite une maintenance continue — intégrez-le dans vos opérations, pas dans votre backlog de projets.
Gérer la conformité dans des tableurs. Les tableurs semblent être un point de départ raisonnable : une feuille pour votre RAT, une pour les DPA des sous-traitants, une autre pour les DSAR. Mais les tableurs n’envoient pas de rappels, n’imposent pas de contrôle de version et ne créent pas de pistes d’audit. À mesure que votre entreprise grandit, l’approche par tableur s’effondre sous son propre poids.
Ignorer la conformité des sous-traitants. Vous êtes responsable des données que vous confiez à vos sous-traitants. Si votre plateforme d’email marketing subit une violation en raison de pratiques de sécurité insuffisantes, les données de vos clients sont affectées — et la chaîne de responsabilité remonte jusqu’à vous. La diligence raisonnable envers les sous-traitants n’est pas facultative.
Ne pas avoir de piste de preuves documentée. Le principe de responsabilité est l’aspect le plus sous-estimé du RGPD. De nombreuses entreprises font les bonnes choses mais n’ont aucun moyen de le prouver. Lorsqu’une autorité de contrôle demande comment vous avez déterminé votre base juridique, ou quand vous avez révisé votre RAT pour la dernière fois, vous avez besoin de réponses documentées — pas de la mémoire institutionnelle.
Confondre politique de confidentialité et conformité. Publier un avis de confidentialité sur votre site web est nécessaire mais largement insuffisant. Un avis de confidentialité est un document de transparence — il informe les personnes de ce que vous faites avec leurs données. La conformité signifie que vous faites réellement ce que l’avis indique, que vous disposez de la documentation pour le prouver et que vous avez des processus pour traiter les demandes d’exercice de droits, les violations et les changements.
Comment GRCTrail aide
GRCTrail remplace l’assemblage disparate de tableurs, de documents partagés et de suivi manuel par une plateforme unique conçue pour la conformité RGPD des entreprises SaaS.
Génération automatisée du RAT. Connectez vos sources de données et GRCTrail construit automatiquement votre Registre des Activités de Traitement. Lorsque votre traitement évolue, votre RAT se met à jour en conséquence — plus besoin d’audits trimestriels de tableurs.
Gestion du workflow DSAR. Recevez, suivez et répondez aux demandes des personnes concernées via un workflow structuré. Vérification d’identité, collecte de données, suivi des délais et livraison des réponses — le tout documenté avec une piste d’audit complète.
Suivi des sous-traitants et des DPA. Maintenez un registre actif de chaque sous-traitant, leur statut DPA, les changements de sous-traitants ultérieurs et les dates de révision. Recevez des notifications lorsqu’un DPA doit être renouvelé ou lorsqu’un sous-traitant met à jour sa liste de sous-traitants ultérieurs.
Gestion des preuves. Chaque action dans GRCTrail est horodatée et enregistrée. Registres de formation, résultats d’évaluation, approbations de politiques et achèvements de revues — tout est stocké comme preuve démontrable de votre programme de conformité.
Découvrez comment GRCTrail automatise cette checklist →
Et ensuite
Cette checklist vous donne le cadre. Les guides détaillés référencés tout au long couvrent chaque sujet en profondeur — avec des exigences spécifiques, des exemples pratiques et des modèles conçus pour les entreprises SaaS.
Commencez par les domaines où vos lacunes sont les plus importantes. Si vous n’avez pas de RAT, c’est la fondation. Si vous n’avez jamais traité de DSAR, mettez en place le processus avant qu’une demande n’arrive. Si vos DPA de sous-traitants sont en désordre, réglez-les avant que votre prochain client entreprise ne vous interroge sur votre gestion des sous-traitants.
La conformité RGPD est un voyage, pas une destination. Mais avec la bonne structure et les bons outils, c’est un voyage que votre équipe peut parcourir avec confiance.
Articles connexes
Qu'est-ce que la conformité RGPD ? Un guide pratique pour les équipes SaaS
La conformité RGPD ne doit pas être accablante. Ce guide détaille les exigences clés, qui doit se conformer et les étapes pratiques que les équipes SaaS peuvent suivre pour commencer.
Notification de violation de données RGPD : calendrier et étapes
Comment gérer les notifications de violation de données sous le RGPD. Couvre le délai de 72 heures, quand notifier l'autorité de contrôle vs. les personnes concernées, la planification de la réponse aux violations et les exigences de documentation.
Conservation des données RGPD : politiques, calendriers et bonnes pratiques
Comment définir des durées de conservation des données conformes au RGPD, construire un calendrier de conservation et mettre en oeuvre la suppression automatisée. Conseils pratiques avec un modèle de conservation spécifique au SaaS.