Slack, HubSpot, Payfit, Google Analytics, Stripe… Ces outils SaaS sont au cœur du quotidien de millions d'entreprises françaises et européennes. Mais savez-vous exactement quelles données personnelles ils collectent, qui en est responsable, et quelles obligations le RGPD vous impose en tant qu'entreprise utilisatrice ?
Ce guide complet analyse les 20 principaux logiciels SaaS du marché sous l'angle de la protection des données personnelles. Vous trouverez une définition claire des concepts RGPD, un tableau synthétique par outil, et les actions concrètes pour sécuriser votre conformité.
Qu'est-ce qu'un logiciel SaaS ?
Un logiciel SaaS (Software as a Service, ou « logiciel en tant que service ») est une application hébergée dans le Cloud — c'est-à-dire sur des serveurs accessibles via Internet — et non sur les ordinateurs ou serveurs de l'entreprise utilisatrice.
L'entreprise cliente paie un abonnement pour accéder au logiciel, sans avoir à gérer de serveurs physiques ni à installer d'applications sur ses appareils. C'est le fournisseur de services (hébergeur ou éditeur du logiciel) qui exploite l'infrastructure.
La conséquence directe : l'entreprise cliente n'a pas la main sur la localisation ni sur l'exploitation de ses données. C'est là que le RGPD entre en jeu.
Pourquoi les logiciels SaaS sont particulièrement concernés par le RGPD
Tous les logiciels SaaS ont un point commun : ils hébergent, collectent et utilisent des données personnelles. En utilisant un SaaS, vous confiez vos données — et celles de vos clients, salariés ou prospects — à un tiers.
Le RGPD (Règlement Général sur la Protection des Données, en vigueur depuis mai 2018) encadre précisément ce type de relation. Il impose des obligations tant aux entreprises utilisatrices qu'aux éditeurs SaaS eux-mêmes.
Pour aller plus loin : Notre guide complet sur le RGPD et les SaaS.
Qu'est-ce qu'une donnée personnelle au sens du RGPD ?
Selon l'article 4 du RGPD, une donnée à caractère personnel est « toute information relative à une personne physique identifiée ou identifiable ».
Cette définition volontairement large couvre deux catégories :
- Les données identifiant directement une personne : nom, prénom, numéro de sécurité sociale, photo, adresse email nominative.
- Les données rendant une personne identifiable : en croisant certaines informations, on peut retrouver l'identité d'une personne. Par exemple : une date de naissance + un métier + une ville.
Les données sensibles : une catégorie à part
Le RGPD distingue une sous-catégorie de données bénéficiant d'une protection renforcée : les données sensibles, définies à l'article 9. Leur traitement est interdit par défaut, sauf exceptions.
Il s'agit notamment des données relatives à :
- l'origine raciale ou ethnique
- les opinions politiques
- les croyances religieuses ou philosophiques
- l'orientation sexuelle
- les données génétiques et biométriques
- l'état de santé
Attention : les informations concernant une personne morale (l'entreprise elle-même) ne sont pas des données personnelles. Seules les données concernant des personnes physiques (salariés, clients, prestataires, candidats…) entrent dans le champ du RGPD.
Les données personnelles traitées par les logiciels SaaS
Dans le cadre d'un logiciel SaaS, deux types de données circulent entre l'utilisateur et l'hébergeur.
1. Les données de connexion (identifiants)
Quel que soit le logiciel SaaS utilisé, l'éditeur collecte les informations nécessaires à la connexion :
- Nom et prénom
- Adresse email
- Identifiant de connexion
- Mot de passe
- Et si service payant : données de paiement (carte bancaire) et données de facturation
Ces données sont traitées par l'éditeur SaaS pour son propre compte. Il endosse alors le rôle de responsable de traitement au sens du RGPD.
2. Les données fonctionnelles (nécessaires au fonctionnement du logiciel)
Ce sont les données saisies ou importées dans le logiciel pour en accomplir la finalité. Elles varient selon la nature du SaaS.
Tableau des 20 principaux SaaS : données collectées et conformité RGPD
Outils collaboratifs
Outils RH / Recrutement
Outils marketing / CRM / E-commerce
Outils de paiement
Plateformes Cloud
Qui est responsable des données dans un logiciel SaaS ?
C'est l'une des questions les plus fréquentes - et les plus importantes - en matière de conformité RGPD avec les SaaS.
L'éditeur SaaS comme responsable de traitement
Pour les données de connexion (nom, email, identifiant…), l'éditeur SaaS est le responsable de traitement. Il détermine lui-même les finalités et les moyens du traitement — c'est-à-dire qu'il décide comment ces données sont utilisées.
L'éditeur SaaS comme sous-traitant
Pour les données fonctionnelles - celles que l'entreprise cliente saisit ou importe dans le logiciel pour en accomplir la finalité — l'éditeur agit pour le compte de l'entreprise cliente. Il est alors qualifié de sous-traitant au sens de l'article 28 du RGPD.
Exemples concrets :
- HubSpot ou Salesforce traitent les données de vos clients et prospects pour vos campagnes marketing. La finalité est propre à votre entreprise. L'éditeur SaaS est sous-traitant.
- Payfit ou Silae Paie traitent les données de vos salariés pour établir leurs bulletins de paie. L'entreprise utilisatrice reste responsable de ces données.
- Welcome to the Jungle stocke les données de vos candidats. L'entreprise qui recrute est responsable de la protection de ces données.
Pour comprendre en détail cette distinction : Responsable de traitement vs sous-traitant RGPD
Vos obligations RGPD en tant qu'entreprise utilisatrice de SaaS
Utiliser un logiciel SaaS ne vous exonère pas de vos responsabilités RGPD. En tant que responsable de traitement, vous devez :
1. Encadrer contractuellement chaque sous-traitant
Le RGPD (article 28) impose de conclure un DPA (Data Processing Agreement) avec chaque éditeur SaaS qui traite des données personnelles pour votre compte. Ce contrat doit préciser les instructions de traitement, les mesures de sécurité, et les obligations de l'éditeur.
Pour aller plus loin :
→ Qu'est-ce qu'un DPA et comment le rédiger ?
→ DPA : les 12 clauses pièges à éviter
2. Tenir votre registre des traitements à jour
L'article 30 du RGPD vous oblige à documenter l'ensemble de vos activités de traitement, y compris celles impliquant des SaaS tiers. Pour chaque outil, vous devez mentionner : la finalité du traitement, les catégories de données, la durée de conservation, et l'identité du sous-traitant.
Pour aller plus loin :
→ Comment rédiger votre registre des traitements
3. Auditer régulièrement vos sous-traitants
Vous devez vous assurer que vos éditeurs SaaS offrent des garanties suffisantes en matière de protection des données. Cela passe par une revue périodique de leurs politiques de confidentialité, certifications (ISO 27001, SOC 2) et clauses contractuelles.
→ Comment auditer vos sous-traitants RGPD
4. Encadrer les transferts hors UE
Plusieurs des SaaS les plus utilisés (Google Analytics, Mailchimp, Slack, HubSpot, Stripe…) hébergent des données aux États-Unis. Ces transferts de données hors de l'Union Européenne doivent être encadrés par des clauses contractuelles types (CCT) ou d'autres mécanismes juridiques prévus par le RGPD.
Points de vigilance spécifiques par type de SaaS
Google Analytics : le cas emblématique du transfert USA
Google Analytics fait l'objet d'une surveillance particulière des autorités européennes. La CNIL française a jugé que son utilisation entraînait des transferts de données vers les États-Unis non conformes au RGPD. La recommandation : opter pour une alternative RGPD-friendly comme Matomo, hébergé en Europe.
HubSpot et Salesforce : des CRM puissants mais exigeants
HubSpot et Salesforce affichent des engagements en faveur du privacy by design, mais leur utilisation conforme nécessite une configuration rigoureuse. Par exemple : paramétrage des durées de conservation, gestion du consentement pour les formulaires, activation des options de localisation des données.
Alan : attention aux données de santé
Alan traite des données de santé — une catégorie de données sensibles soumises à des règles encore plus strictes. L'hébergement chez AWS à Francfort permet de rester dans l'UE, mais la mise en place d'un DPA spécifique est indispensable.
Automatisez votre conformité SaaS avec Leto
Gérer la conformité RGPD de 20 logiciels SaaS manuellement est une tâche chronophage et risquée. C'est pour répondre à ce défi que Leto a été créé.
Leto est une solution SaaS qui automatise la mise en conformité RGPD au quotidien :
- Inventaire automatique des types de données personnelles traitées par votre organisation
- Documentation de conformité maintenue à jour en continu
- Gestion des sous-traitants et suivi des DPA
- Réponse aux audits et questionnaires conformité de vos prospects
- Sensibilisation des équipes via du microlearning ultra-personnalisé
« L'équipe Leto nous a accompagné à chaque étape, nous permettant de gagner un temps précieux et de rassurer nos clients et partenaires quant à notre engagement en matière de protection des données personnelles de nos utilisateurs. » CTO de Powder
« La solution nous permet de répondre rapidement aux questions de nos prestataires sur le RGPD mais aussi les privacy laws en général. » CEO chez Qomon
Pour aller plus loin:
→ Évaluez gratuitement votre maturité RGPD
→ Découvrez le comparatif des logiciels RGPD 2026
→ Mettre en conformité votre entreprise en 10 étapes
En résumé : ce que vous devez retenir
Les 20 principaux logiciels SaaS du marché collectent et traitent tous des données personnelles. En tant qu'entreprise utilisatrice, vous êtes dans la plupart des cas responsable de traitement pour les données que vous y stockez, tandis que l'éditeur agit comme sous-traitant.
Vos trois obligations fondamentales :
- Signer un DPA avec chaque éditeur SaaS traitant des données pour votre compte
- Documenter ces traitements dans votre registre (article 30 RGPD)
- Encadrer les transferts hors UE par des mécanismes contractuels appropriés
La bonne nouvelle : ces obligations sont automatisables. Des solutions comme Leto permettent aujourd'hui de transformer la conformité RGPD en avantage compétitif plutôt qu'en contrainte.
FAQ : SaaS et données personnelles
Un logiciel SaaS gratuit est-il soumis au RGPD ?
Oui. Le RGPD s'applique dès lors que des données personnelles de personnes physiques résidant dans l'UE sont traitées, quelle que soit la nature payante ou gratuite du service.
Suis-je responsable des données que j'importe dans un SaaS ?
Oui. En tant qu'entreprise utilisatrice, vous êtes responsable de traitement pour les données que vous importez dans un logiciel SaaS. L'éditeur agit comme sous-traitant sous vos instructions.
Que se passe-t-il en cas de violation de données chez mon fournisseur SaaS ?
L'éditeur SaaS (sous-traitant) doit vous notifier sans délai de toute violation. Vous avez ensuite 72 heures pour notifier la CNIL si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes concernées.
Dois-je signer un DPA avec tous mes SaaS ?
Oui, pour tous les éditeurs SaaS qui traitent des données personnelles pour votre compte. La plupart des grands éditeurs (Google, Microsoft, Salesforce, Slack…) proposent un DPA standard téléchargeable.
Mon SaaS hébergé aux USA est-il automatiquement non conforme ?
Un hébergement aux USA est possible à condition d'encadrer le transfert (clauses contractuelles types, BCR, Data Privacy Framework…). En revanche, certaines autorités européennes ont jugé certains transferts insuffisamment encadrés — notamment pour Google Analytics.
Comment savoir si mon SaaS collecte des données sensibles ?
Consultez la politique de confidentialité de l'éditeur. S'il traite des données de santé, biométriques, ou relatives à l'origine/religion/orientation sexuelle, des précautions supplémentaires s'imposent, y compris potentiellement une AIPD (Analyse d'Impact relative à la Protection des Données).
