Aller au contenu
MicroFlows
← Tous les articles

3 juin 2026

Où sont stockées les données de votre logiciel ? Le RGPD expliqué simplement

Vous signez pour un logiciel de facturation. Vous cochez « J'accepte », vous importez votre fichier clients, et c'est parti. À aucun moment vous n'avez vu où atterrissent les coordonnées de ces clients, leurs RIB, vos chiffres de marge. Quelque part. « Dans le cloud. » C'est flou, et ce flou-là n'est pas un détail de geek.

Savoir si un logiciel a ses données hébergées en Europe ou ailleurs, ce n'est pas une coquetterie de juriste. C'est une décision de risque, prise une fois, qui vous suit des années. Données en Europe : cadre clair, droit que vous connaissez. Mêmes données sur des serveurs à l'autre bout du monde : vous héritez de lois étrangères que vous ne maîtrisez pas et que, honnêtement, vous n'avez pas le temps de suivre. La bonne nouvelle, c'est que pour vérifier, pas besoin d'être DPO. Trois questions, et vous savez où vous en êtes.

Ce que le RGPD demande vraiment à une TPE

On se figure le RGPD comme une montagne de paperasse pour grands groupes. C'est faux pour l'essentiel — et ça arrange surtout les vendeurs de « mise en conformité » qui facturent 3 000 € un PDF que vous auriez pu remplir vous-même.

Pour une TPE qui tourne avec des outils en ligne, le règlement tient en quelques principes de bon sens. Vous ne collectez que ce qui sert. Vous savez où ça vit. Vous pouvez l'exporter ou l'effacer. Et le point qu'on oublie toujours : vous restez responsable des données que vous confiez à un prestataire. Le terme juridique, c'est sous-traitant. Votre logiciel de facturation est votre sous-traitant. S'il fuit, c'est votre nom à vous qui part dans la déclaration à la CNIL — pas seulement celui de l'éditeur.

D'où le poids de la localisation. Le RGPD autorise le transfert de données personnelles hors Union européenne, oui, mais sous conditions, et ces conditions bougent au gré des décisions de justice (souvenez-vous du Privacy Shield, retoqué du jour au lendemain). À l'intérieur de l'Espace économique européen, le sol est stable. Dès que les données franchissent la frontière, vous récupérez une incertitude juridique qui n'est pas la vôtre à gérer.

Le réflexe utile, du coup, ce n'est pas de lire les 88 articles du règlement un dimanche soir. C'est de poser une seule question à chaque outil que vous utilisez : mes données restent-elles en Europe ?

Hébergement en Europe ou hors Europe : pourquoi ça change tout

Un serveur, ce n'est pas une abstraction. C'est une machine. Dans un bâtiment, dans un pays, soumise au droit de ce pays. Vos données « dans le cloud » dorment sur un disque bien réel, à un endroit précis du globe — et l'endroit décide de qui peut mettre la main dessus.

Mettons que votre fichier clients soit sur des serveurs à Dublin, Francfort ou Paris. Par exemple une région cloud comme eu-west-1, en Irlande. Ces données relèvent du droit européen. Une administration française veut y accéder ? Elle passe par une réquisition judiciaire, avec un juge, un cadre. C'est lent, c'est balisé, et vous seriez au courant.

Maintenant, les mêmes fichiers stockés en Virginie ou dans l'Oregon. Là, ils relèvent aussi du droit américain, et les règles d'accès ne sont plus les vôtres. Une autorité étrangère peut réclamer la communication des données sans que vous — ni parfois même l'éditeur du logiciel — soyez prévenus.

Une nuance, et je la reconnais franchement : un hébergement européen ne vous rend pas « conforme RGPD » par magie. On peut très bien être en Europe et bâcler tout le reste. Mots de passe partagés sur un Post-it, base clients gardée dix ans sans raison, zéro contrat de sous-traitance signé avec ses prestataires. L'hébergement européen, c'est le socle. Pas le toit. Mais sans le socle, le toit ne tient pas.

Les trois questions à poser à n'importe quel fournisseur

Voilà la partie qui sert vraiment. Avant de signer — ou pour faire le tri dans ce que vous utilisez déjà — envoyez ces trois questions au support. Un fournisseur sérieux répond en deux lignes. Celui qui noie le poisson vous a déjà répondu, en creux.

  • Où sont physiquement hébergées mes données ? Vous attendez un pays ou une région, pas un « dans le cloud ». Une bonne réponse, c'est « serveurs en Irlande » ou « datacenter à Paris ». Si on vous lâche « chez AWS » sans préciser, relancez : AWS héberge aussi bien à Paris qu'en Virginie, et ça ne joue pas la même partie.
  • Qui peut accéder à ces données, et sous quelle loi ? Vous cherchez à savoir si l'éditeur, sa maison mère ou un sous-traitant lointain peut consulter votre base. Et de quel pays relève la société. Une boîte américaine reste soumise au droit américain même quand ses serveurs sont en Europe.
  • Comment je récupère et je supprime tout, et en combien de temps ? L'export complet et l'effacement de vos données sont des droits, pas des faveurs. Un bon outil vous donne un bouton ou un délai chiffré. Un mauvais vous fait sentir que partir sera long et douloureux — ce qui en dit déjà long.

Gardez les réponses par écrit. Un mail suffit, classé dans un dossier « RGPD ». Le jour où un client réclame de savoir où sont ses données, ou si la CNIL frappe, vous sortez le mail et vous avez fait le travail.

Les SaaS américains : ce que le Cloud Act change pour vous

Il faut en parler cash, parce que beaucoup d'excellents outils du quotidien sont édités par des sociétés américaines. Le sujet n'est pas « américain = mauvais ». Le sujet, c'est une loi précise : le Cloud Act.

En deux phrases. Cette loi permet aux autorités américaines d'exiger d'une entreprise relevant du droit US la communication des données qu'elle détient — y compris quand ces données sont stockées sur des serveurs en Europe. Autrement dit, la localisation physique ne suffit pas toujours : ce qui compte aussi, c'est la nationalité de l'entreprise qui tient le serveur.

Pour une TPE, concrètement ? Cocher « serveurs en Europe » sur la fiche d'un éditeur américain ne ferme pas complètement la porte. C'est mieux que des serveurs au Texas, d'accord. Mais l'entreprise, elle, reste sous une législation qui peut entrer en conflit avec le RGPD.

Faut-il fuir tout outil américain pour autant ? Non, soyons sérieux : la moitié de votre journée numérique y passerait. La vraie question se calibre sur la sensibilité des données. Un outil qui stocke des photos de chantier, le risque est théorique — qui irait réquisitionner ça. Celui qui héberge vos bulletins de paie, des données de santé au travail ou tout votre fichier clients, l'arbitrage mérite trente secondes. Et pour ces données-là, il existe souvent une alternative européenne tout aussi bonne. C'est un choix de risque assumé, pas une fatalité technique.

Comment vérifier concrètement où vivent vos données

Place à la méthode. Telle qu'on la mènerait un vendredi de fin de mois, entre deux dossiers, avec un café.

D'abord, listez les logiciels qui touchent des données personnelles : clients, salariés, fournisseurs. Pas tous vos outils — ceux qui manipulent des noms, des coordonnées, des montants, des RIB, des numéros de SIRET. Vous en avez sans doute entre cinq et quinze, et certains vous reviendront en y pensant sous la douche le lendemain.

Pour chacun, trois endroits à regarder :

  • La page « Sécurité », « Confidentialité » ou « RGPD » du site de l'éditeur. Les sérieux y affichent leur hébergeur et la région. Quand c'est introuvable, c'est déjà un signal.
  • Les CGU ou la politique de confidentialité. Cherchez les mots « hébergement », « transfert », « États-Unis », « clauses contractuelles types ». Pénible, oui, mais un Ctrl+F règle ça en deux minutes.
  • Le support, avec les trois questions du dessus, quand le site reste muet.

Notez le résultat dans un tableau tout bête : nom de l'outil, pays d'hébergement, nationalité de l'éditeur, type de données. Une demi-journée de travail, et vous tenez une cartographie qui vous servira des années — et qui forme, au passage, une bonne partie de votre registre des traitements, ce fameux document que la CNIL peut vous demander.

Nous, ce choix, on l'a fait en amont, justement pour vous l'épargner : les données de nos modules sont hébergées en Europe, en Irlande, et on ne garde que le strict nécessaire au fonctionnement de chaque outil. Quand le module Factures Amazon va chercher et rapproche vos factures, tout reste dans ce cadre. Vos justificatifs ne partent pas faire le tour du monde pour revenir.

Le RGPD, pour une TPE, ce n'est ni une case abstraite ni un projet à six mois. C'est pouvoir répondre, sans transpirer, à une question de bon sens : si on me demande où sont les données de mes clients, est-ce que je sais ? Posez les trois questions, gardez les réponses au chaud. Vous aurez fait l'essentiel. Et si vous voulez qu'on regarde vos propres outils ensemble, écrivez-nous — on vous dira sans détour où vous en êtes.