Mon SaaS B2B est-il responsable de traitement ou sous-traitant ?

Pour les données traitées pour le compte de vos clients (leurs utilisateurs finaux), vous êtes sous-traitant. Pour vos propres données (prospects, signups, employés), vous êtes responsable de traitement. La plupart des SaaS B2B cumulent les deux rôles.

Faut-il un DPA signé avec chaque client B2B ?

Oui. L'article 28 RGPD impose un contrat ou DPA entre responsable de traitement et sous-traitant. La meilleure pratique est de l'intégrer dans vos CGV / MSA, avec un addendum dédié.

Comment gérer les transferts vers nos outils US ?

Vérifiez l'adhésion du fournisseur au Data Privacy Framework, signez les Standard Contractual Clauses si nécessaire, et documentez une analyse de risque (TIA) pour les traitements sensibles.

Pour SaaS et startups

Audit RGPD pour SaaS et startups

Un SaaS qui traite des données pour ses clients B2B engage sa responsabilité contractuelle dès la première signature. Une faille, un sous-traitant non encadré ou un transfert hors UE mal documenté peut bloquer tout votre cycle commercial.

Lancer l'audit gratuit Calculer mon risque

Les 5 risques RGPD spécifiques aux SaaS et startups

DPA absent ou non conforme. Beaucoup de startups signent des CGV qui mentionnent à peine le RGPD. En B2B, l'absence de DPA peut bloquer un deal au stade procurement / sécurité du client.
Multi-tenant mal cloisonné. Une bug de scoping qui expose les données d'un client à un autre = violation grave et notification immédiate.
Sous-traitants en cascade non listés. Hébergeur, observability (Datadog, Sentry), email transactionnel (SendGrid, Postmark), search (Algolia) : chacun doit être listé, accepté par le client et encadré contractuellement.
Logs et données de production en dev. Ramener une copie de la base prod en staging avec des emails clients réels = manquement classique en startup.
Suppression de compte effective. "Désactiver" n'est pas "effacer". L'art. 17 impose un effacement réel sous 1 mois, y compris dans les sauvegardes (avec mesures compensatoires).

3 sanctions CNIL et précédents SaaS / tech

2024 — SaaS B2B mid-market
250 000 €

Transferts vers sous-traitants US sans clauses ni mesures techniques additionnelles documentées.

2023 — Plateforme analytics
80 000 €

Conservation de logs IP utilisateurs au-delà de la durée déclarée.

2024 — Startup HR-tech
120 000 €

Bug d'authentification permettant de voir les profils d'autres tenants ; notification tardive.

Checklist conformité SaaS B2B

DPA modèle prêt, intégré aux CGV ou en addendum, conforme art. 28.
Liste des sous-traitants publique (URL dédiée), avec mécanisme de notification de changement.
Accord sur les transferts hors UE : DPF, SCCs, TIA documentée pour les sous-traitants à risque.
Cloisonnement multi-tenant testé (tests automatisés sur les bornes d'autorisation).
Procédure d'effacement réelle, incluant sauvegardes et logs.
Réponse aux demandes des utilisateurs finaux : routée vers le client (responsable) ou traitée directement avec preuves.
Logs de production dépourvus de PII inutiles, accès restreint, durée de conservation maîtrisée.
MFA obligatoire pour les accès admin et support, journalisation des accès.
Procédure d'incident testée incluant la chaîne de notification client → CNIL → utilisateurs finaux.
Plan de continuité incluant la portabilité des données client en cas de fin de contrat.

Évaluez votre conformité avant la prochaine due-dil

Audit gratuit en 10 minutes, score, plan d'action priorisé.

Démarrer l'audit RGPD

Audit RGPD pour SaaS et startups

Les 5 risques RGPD spécifiques aux SaaS et startups

3 sanctions CNIL et précédents SaaS / tech

Checklist conformité SaaS B2B

Évaluez votre conformité avant la prochaine due-dil

Pour aller plus loin