Six ans après l'entrée en vigueur du RGPD, "conformité" signifie encore des choses différentes selon les entreprises. Certaines le traitent comme un exercice juridique ponctuel (bandeau cookies, politique de confidentialité, terminé). D'autres comme une pratique opérationnelle continue. La différence apparaît à la première question d'une autorité de protection, ou quand un client enterprise envoie un addendum DPA de 47 questions.
Étape 1 : Cartographier vos données
L'Article 30 du RGPD exige un Registre des Activités de Traitement (RAT). En pratique, c'est un document — généralement un tableur — listant chaque catégorie de données personnelles traitées, pourquoi, où elles vont, combien de temps elles sont conservées.
L'erreur classique : traiter ça comme un artefact de conformité plutôt qu'opérationnel. Un bon RAT vous dit en un coup d'œil que votre outil support traite des données personnelles et est hébergé par une société américaine — signalant le problème de transfert. Un mauvais RAT est écrit une fois, vit dans SharePoint, et est obsolète sous 90 jours.
Étape 2 : Documenter vos bases légales
Pour chaque catégorie de traitement, vous avez besoin d'une base légale (Article 6). Les six options : consentement, contrat, obligation légale, intérêts vitaux, intérêt public, intérêt légitime. La plupart du traitement SaaS relève du contrat (vos CGU) ou de l'intérêt légitime (sécurité, prévention fraude, analytics produit).
Le "consentement" est sur-utilisé en théâtre de conformité. Si vous devez exécuter un contrat — héberger un compte client, traiter son paiement — pas besoin de consentement. Le consentement s'applique spécifiquement au traitement optionnel où l'utilisateur doit avoir un vrai choix.
Étape 3 : Droits des personnes opérationnalisés
Le test : un non-ingénieur dans votre entreprise peut-il satisfaire une demande d'accès en 30 jours, de bout en bout ? Cela inclut récupérer toutes les données depuis vos systèmes (et sous-traitants), les formater lisiblement, les livrer en sécurité.
Construisez l'outillage opérationnel maintenant. Un dashboard admin où le support cherche un utilisateur, clique "exporter", et obtient un dump complet retire 95% de la friction.
Étape 4 : Gestion des sous-traitants
Chaque outil SaaS traitant des données client est un sous-traitant. Le RGPD exige des contrats appropriés, une liste à jour, et notification aux clients lors d'ajout/changement.
Setup pratique : maintenez une page sous-traitants publique. Notifiez par email 30 jours avant ajout. Faites signer une DPA avec chacun.
Étape 5 : Réponse aux violations
Le RGPD exige notification à l'autorité de contrôle dans les 72 heures. C'est serré, surtout en parallèle de l'investigation. Ayez un plan de réponse aux incidents écrit. Testez-le annuellement par exercice tabletop. Le plan doit spécifier : qui est commandant d'incident, qui notifie l'autorité, qui notifie les clients.
Étape 6 : Discipline DPA
Vous avez besoin de DPAs dans les deux sens. Comme responsable de traitement, vous signez avec vos sous-traitants. Comme sous-traitant (traitant les données de vos clients pour leur compte), vos clients voudront une DPA de vous. Publiez un modèle DPA standard électroniquement signable.
Étape 7 : Minimisation des données
Les plus grandes améliorations privacy viennent souvent de décisions produit. Avez-vous vraiment besoin de ce champ ? De conserver les logs 5 ans alors que 90 jours suffiraient ? Faites une revue trimestrielle de vos schémas. Pour chaque champ personnel, demandez : utilise-t-on cela ?
Étape 8 : Choix d'hébergement
L'hébergement UE-only est le chemin le plus propre : pas de mécanisme de transfert transfrontalier requis, le RGPD s'applique directement à l'hôte, mêmes obligations réglementaires.
L'hébergement dans des "régions UE" de fournisseurs US est plus complexe. La maison-mère est soumise au Cloud Act, ce qui signifie que les données peuvent être contraintes hors de la région UE par procédure légale US.
Pour les SaaS focus France/UE, l'hébergement souverain français (FranceVPS) élimine totalement l'exposition Cloud Act.
À quoi ressemble la "conformité" en 2026
Les entreprises qui gèrent bien le RGPD en 2026 partagent des traits : elles traitent la conformité comme une pratique opérationnelle, ont investi dans l'outillage tôt, leur RAT est à jour à 90 jours, leur flux de demande des droits est automatisé et testé, et leurs choix d'hébergement s'alignent avec les attentes réglementaires de leurs clients.