Le RGPD ne se règle pas « quand on aura le temps ». En France, la CNIL a durci ses contrôles depuis 2024, et un contrôle qui trouve un défaut de base sur un SaaS commercial se solde souvent par un rappel à l'ordre public ou une amende. Bonne nouvelle : pour un SaaS classique B2B ou B2C européen, la mise en conformité tient dans une checklist de 15 points. Voici laquelle.
Périmètre : cet article couvre un SaaS « standard » (auth, comptes utilisateurs, Stripe, emails, analytics). Pour du secteur régulé (santé, finance, RH sensible), il faut aller au-delà avec un juriste spécialisé.
1. Registre des traitements
C'est le document socle. Vous listez chaque traitement de données (inscription, facturation, support, marketing, analytics), avec sa finalité, sa base légale, les données concernées, la durée de conservation, les destinataires. La CNIL fournit un modèle. Comptez 3 à 5 heures pour le produire proprement au démarrage.
2. Politique de confidentialité claire
Une page qui explique en langage humain : qui vous êtes, quelles données vous collectez, pourquoi, combien de temps, avec qui, quels sont les droits des utilisateurs et comment les exercer. Pas de copier-coller d'un modèle générique — un contrôle CNIL le repère immédiatement.
3. Bases légales explicites
Chaque traitement doit avoir une base légale identifiée : contrat, consentement, obligation légale, intérêt légitime, mission d'intérêt public, sauvegarde d'intérêts vitaux. Le marketing sortant repose sur le consentement ou l'intérêt légitime avec opt-out. Pas de zone grise.
4. Consentement cookies conforme
Bandeau qui : présente les catégories (essentiels, analytics, marketing), permet un refus aussi simple que l'acceptation (pas de « continuer sans accepter » à peine visible), et bloque les tags avant consentement. Solutions courantes 2026 : Axeptio, Didomi, ou une implémentation maison si vous avez peu de cookies.
5. Analytics sans consentement — si vous voulez
Plausible, Simple Analytics, ou Matomo en on-premise (avec IP anonymisée) permettent de trackersans bandeau cookie, parce que sans donnée personnelle collectée. C'est un énorme gain UX. Google Analytics 4 avec « consent mode v2 » reste possible mais exige le bandeau.
6. Hébergement dans l'UE (ou clauses)
Vercel + Supabase peuvent être configurés en région Europe. Si vous utilisez un fournisseur US (Stripe, OpenAI), les clauses contractuelles types (CCT) sont incluses dans leur DPA. Ajoutez cette information à votre politique de confidentialité et à votre registre.
7. DPA signé avec chaque sous-traitant
Chaque outil qui traite des données de vos utilisateurs (Stripe, Supabase, OpenAI, Sentry, Resend, PostHog, Intercom…) doit avoir un DPA (Data Processing Agreement) signé. Tous les SaaS sérieux en 2026 le proposent en self-serve dans leurs paramètres. Comptez 30 minutes pour signer les 8-10 DPA de votre stack.
8. Droit d'accès et de suppression
Les utilisateurs doivent pouvoir : exporter leurs données (un JSON ou CSV suffit), demander leur suppression, rectifier des infos. Prévoyez soit un bouton dans les paramètres du compte, soit une adresse email de contact qui traite ces demandes sous 30 jours.
9. Durées de conservation limitées
Vous ne pouvez pas garder les données « au cas où ». Fixez des durées : par exemple 3 ans après la fin du contrat pour un compte utilisateur B2B, 10 ans pour les factures (obligation légale comptable), 12 mois pour les logs. Documentez et purgez automatiquement.
10. Sécurité des données au niveau attendu
- Mots de passe hashés (bcrypt / argon2 — jamais en clair, jamais MD5)
- HTTPS partout, HSTS activé
- Row-Level Security ou équivalent pour isoler les données entre tenants
- Rate limiting sur les endpoints sensibles
- Backup chiffrés et testés
- MFA disponible sur les comptes utilisateurs (facultatif) et obligatoire côté admin
11. Registre des violations de données
Si vous subissez une brèche, vous devez le déclarer à la CNIL sous 72 heures — et informer les utilisateurs concernés si le risque est élevé. Préparez maintenant : un template d'email d'information, une procédure interne (qui décide, qui déclare, qui communique), et un registre des incidents.
12. Contrats de travail des collaborateurs
Si vous avez des salariés ou des sous-traitants qui accèdent aux données utilisateurs (support, dev), leur contrat doit prévoir une clause de confidentialité et de respect du RGPD. Pour les freelances qui accèdent à la prod (dont moi), un DPA client-prestataire est signé au démarrage du projet.
13. Minimisation des données
Ne collectez que ce dont vous avez besoin. Un formulaire d'inscription à 12 champs « au cas où » viole le principe de minimisation. Une bonne inscription à 3 champs respecte le RGPD et convertit mieux.
14. Emails marketing conformes
Chaque email marketing doit contenir : l'identité de l'expéditeur, une raison claire de l'envoi (« vous êtes client », « vous vous êtes inscrit à la newsletter »), et un lien de désinscription en 1 clic. Pour la prospection B2C, base obligatoire = consentement préalable.
15. DPO ou point de contact
En dessous de 250 salariés et sans traitement à grande échelle de données sensibles, le DPO n'est pas obligatoire. Mais vous devez identifier une personne joignable pour les questions RGPD (souvent le fondateur ou le CTO), et l'annoncer dans votre politique de confidentialité.
Un SaaS RGPD-compliant en 2026, ce n'est plus un projet de 3 mois — c'est une journée bien passée à installer 15 briques bien pensées.
Documents à produire concrètement
- Politique de confidentialité (2-3 pages)
- Registre des traitements (tableau, 1 ligne par traitement)
- Mentions légales avec responsable de traitement
- CGV / CGU incluant les clauses RGPD
- DPA prêt à signer avec vos clients B2B
- Procédure interne de gestion des demandes RGPD (Notion / Google Doc)
Envie d'un audit rapide de votre projet ?
Sur mes projets clients, je fais toujours un pass RGPD avant la mise en production. Si vous avez déjà un SaaS en ligne et que vous voulez vérifier votre conformité, on peut regarder en 30 minutes ce qui est en place et ce qui manque.
Réservez un appel. À lire aussi : Choisir sa stack pour lancer une startup.