TL;DR : Si votre SaaS américain propose des services à des personnes dans l'UE ou surveille leur comportement, le RGPD s'applique — indépendamment de la localisation de vos serveurs et de l'existence ou non d'une entité européenne. Fixez d'abord votre rôle de responsable/sous-traitant, choisissez une base légale au titre de l'Article 6, déployez les CCT 2021/914 avec une analyse d'impact des transferts pour les flux vers les États-Unis, et désignez un représentant UE au titre de l'Article 27 avant le lancement.
Le RGPD vous concerne-t-il ? Champ d'application extraterritorial de l'Article 3
L'Article 3 du Règlement (UE) 2016/679 comporte trois branches, dont deux concernent la plupart des SaaS américains :
- Article 3(1) — Établissement. S'applique aux traitements effectués dans le cadre des activités d'un établissement situé dans l'UE, quel que soit le lieu du traitement. Un seul employé dans l'UE peut constituer un établissement au sens de l'affaire C-230/14 Weltimmo.
- Article 3(2)(a) — Offre de biens ou de services aux personnes concernées dans l'Union. Indicateurs selon le Considérant 23 et les Lignes directrices 3/2018 du CEPD : localisation en langue européenne, tarification en EUR, références clients UE, domaine UE, mentions d'utilisateurs UE dans le marketing, support client UE, publicités ciblant l'UE. Un site uniquement américain recevant par hasard du trafic européen n'est pas concerné. Un SaaS avec une page de tarification en euros sur Stripe l'est pleinement. Pour les entreprises françaises ou belges souhaitant commercialiser leurs services numériques aux États-Unis, l'inverse s'applique également.
- Article 3(2)(b) — Suivi du comportement des personnes concernées dans l'Union. Publicité comportementale, empreinte numérique, géolocalisation, enquêtes de marché ciblant les utilisateurs européens.
La localisation des serveurs est sans pertinence au regard de l'Article 3. L'absence de personne morale dans l'UE non plus. Si vous relevez du 3(2), l'intégralité du Règlement s'applique et vous devez désigner un représentant au titre de l'Article 27 dans l'Union (sous réserve de l'exemption restrictive de l'Article 27(2)). Déterminer quel critère vous vise — et cadrer les obligations qui en découlent — est le premier livrable de tout accompagnement en conseil en conformité RGPD.
Responsable, sous-traitant, coresponsable — définissez le rôle en premier
Vos obligations dépendent de votre rôle. Une mauvaise identification du rôle engendre davantage de problèmes lors des contrôles que n'importe quelle défaillance technique.
- Responsable du traitement (Article 4(7)) — détermine les finalités et les moyens du traitement. Un SaaS B2C est responsable du traitement des données de ses utilisateurs finaux.
- Sous-traitant (Article 4(8)) — traite les données pour le compte d'un responsable. Un SaaS B2B traitant les données d'utilisateurs finaux pour ses clients est généralement sous-traitant ; le client est responsable du traitement.
- Coresponsables du traitement (Article 26) — deux entités ou plus déterminent conjointement les finalités et les moyens. L'affaire CJUE C-40/17 Fashion ID a placé les scénarios de pixels de suivi dans le champ de la coresponsabilité. Les coresponsables doivent définir leurs responsabilités dans un accord transparent et en rendre l'essentiel accessible aux personnes concernées.
La plupart des fondateurs de SaaS B2B américains supposent à tort qu'ils sont « simplement sous-traitants » pour tout. Ils sont généralement responsables du traitement pour la facturation, la gestion des comptes, le marketing et la télémétrie de sécurité, et sous-traitants uniquement pour les données métier stockées par le client. Cartographiez les deux rôles par activité de traitement, pas par entreprise.
Bases légales au titre de l'Article 6 et catégories spéciales au titre de l'Article 9
L'Article 6(1) énumère six bases légales. Pour les SaaS B2B, les bases opérationnelles sont les suivantes :
| Base légale | Utilisation | Points de vigilance |
|---|---|---|
| 6(1)(a) Consentement | E-mails marketing, cookies optionnels, analytique optionnelle | Conditions strictes de l'Article 7 ; révocable à tout moment ; granulaire ; non lié aux CGU |
| 6(1)(b) Contrat | Fourniture du service, facturation, gestion des comptes | Test de stricte nécessité ; « amélioration du service » ne suffit pas (Lignes directrices CEPD 2/2019) |
| 6(1)(c) Obligation légale | Registres fiscaux, LCB-FT/KYC, reporting financier | Citez la loi spécifique dans votre RoPA |
| 6(1)(f) Intérêts légitimes | Analytique produit, sécurité, fraude, marketing B2B, opérations groupe | Test en trois étapes, EIL documentée ; droit d'opposition Article 21 ; non applicable aux autorités publiques |
Les catégories spéciales de l'Article 9 (santé, identifiants biométriques à des fins d'identification, origine raciale ou ethnique, opinions politiques, convictions religieuses, syndicats, vie sexuelle et orientation sexuelle, données génétiques) requièrent une base Article 9(2) en sus de l'Article 6. Par défaut : consentement explicite au titre du 9(2)(a). Les données pénales de l'Article 10 relèvent d'un régime propre. En France, la CNIL a publié des lignes directrices spécifiques sur le traitement des données de santé, notamment dans le cadre de l'hébergement HDS (Hébergeur de Données de Santé).
Données des enfants (moins de 16 ans, abaissé à 13–16 ans par les États membres) au titre de l'Article 8 : consentement parental requis pour les services de la société de l'information proposés directement aux enfants. En France, la limite est fixée à 15 ans.
Les sept principes de l'Article 5 que votre ingénierie doit respecter
L'Article 5(1) énumère sept principes ; l'Article 5(2) vous rend responsable de démontrer votre conformité.
- Licéité, loyauté, transparence — transparence aux Articles 13–14 lors de la collecte ; politique de confidentialité en langage clair et accessible.
- Limitation des finalités — collectées pour des finalités déterminées, explicites et légitimes ; ne pas être traitées ultérieurement de manière incompatible.
- Minimisation des données — adéquates, pertinentes, limitées au nécessaire. Côté ingénierie : ne pas collecter des champs « au cas où ».
- Exactitude — maintenues exactes, à jour, avec des mécanismes de rectification.
- Limitation de la conservation — conservées sous forme identifiable pas plus longtemps que nécessaire. Côté ingénierie : rétention automatisée, suppressions définitives, pas de suppressions logiques.
- Intégrité et confidentialité — sécurité via des mesures techniques et organisationnelles appropriées (Article 32).
- Responsabilité — vous devez démontrer votre conformité. RoPA (Article 30), politiques, formations, preuves documentaires.
L'Article 25 « Protection des données dès la conception et par défaut » opérationnalise ces principes : mesures de protection des données par défaut et dès la conception, seules les données personnelles nécessaires traitées par défaut. La CNIL a intensifié ses contrôles sur l'Article 25 depuis 2024, notamment pour les entreprises de développement logiciel en France qui déploient des fonctionnalités d'analytique comportementale.
Transferts internationaux : DPF, CCT 2021/914, AIT, BCR
Le Chapitre V (Articles 44–50) encadre les transferts de données personnelles vers des pays tiers. Après que Schrems II (affaire CJUE C-311/18) a invalidé le Privacy Shield en 2020 — mécanisme sur lequel s'appuyaient de nombreuses entreprises françaises et belges —, le cadre a été reconstruit autour de trois outils :
- Décision d'adéquation. Article 45. Le Cadre de Protection des Données UE-États-Unis (Data Privacy Framework), adopté par la Décision d'exécution de la Commission (UE) 2023/1795 du 10 juillet 2023, a rétabli l'adéquation pour les données personnelles transférées vers des importateurs américains certifiés DPF. Vérifiez la certification sur dataprivacyframework.gov ; le statut de certification peut expirer. Le DPF a survécu à son premier recours devant le Tribunal de l'UE en 2025 (affaire T-553/23 La Quadrature du Net, qui a porté ce contentieux devant les tribunaux français) mais un renvoi Schrems III est en attente ; ne misez pas l'entreprise sur la seule adéquation.
- Clauses Contractuelles Types (CCT). Décision d'exécution de la Commission (UE) 2021/914 du 4 juin 2021, qui remplace définitivement le Privacy Shield comme mécanisme de transfert. Elle prévoit quatre modules : C2C, C2P, P2P, P2C. Choisissez le module correspondant à la paire de rôles. Utilisez la clause d'adhésion pour les déploiements multi-parties. Ces CCT doivent être complétées par une Analyse d'Impact des Transferts (AIT) conformément aux Recommandations 01/2020 du CEPD — évaluez le droit du pays tiers, notamment l'accès gouvernemental (FISA 702, EO 12333 pour les États-Unis), et ajoutez des mesures supplémentaires (chiffrement avec clés dans l'UE, pseudonymisation, mesures contractuelles) lorsque le droit est insuffisant.
- Règles d'Entreprise Contraignantes (BCR). Article 47. Pour les transferts intra-groupe ; longues à mettre en place (généralement 18–36 mois) mais durables.
- Dérogations de l'Article 49. Consentement explicite, nécessité contractuelle, intérêt public important, etc. Strictement nécessaires, non applicables aux transferts systématiques.
Représentant UE (Article 27) et la question du DPO (Article 37)
Deux rôles distincts, souvent confondus.
Représentant UE (Article 27) — obligatoire pour les responsables du traitement et sous-traitants non établis dans l'UE relevant de l'Article 3(2), sauf si l'exemption restrictive s'applique. Doit être établi dans un État membre où se trouvent les personnes concernées, doit être habilité à traiter les questions RGPD, et constitue le point de contact pour les autorités de contrôle (dont la CNIL en France) et les personnes concernées. Les services de représentants tiers coûtent EUR 1 200–6 000 par an. Mentionnez votre représentant dans votre politique de confidentialité et sur votre site web.
Délégué à la Protection des Données (DPO — Article 37) — obligatoire uniquement lorsque (a) vous êtes une autorité publique, (b) vos activités principales consistent en un suivi régulier et systématique à grande échelle (ex. : adtech, télématique), ou (c) vos activités principales consistent en un traitement à grande échelle de catégories spéciales de l'Article 9 ou de données pénales de l'Article 10. La plupart des SaaS B2B n'ont pas besoin d'un DPO obligatoire, mais beaucoup en désignent un volontairement comme signal de conformité. L'Article 38 protège le DPO contre les instructions relatives à ses missions et contre tout licenciement lié à celles-ci ; l'Article 39 liste ses missions. En France, la désignation du DPO auprès de la CNIL est fortement recommandée même lorsqu'elle n'est pas obligatoire.
Droits des personnes concernées et le délai de réponse
Les Articles 12–22 accordent des droits et l'Article 12(3) fixe le délai de réponse : un mois à compter de la réception de la demande, prolongeable de deux mois supplémentaires pour les demandes complexes avec notification dans le premier mois. Gratuit sauf si manifestement infondé ou excessif.
- Article 15 — Droit d'accès — copie des données personnelles, finalités du traitement, catégories, destinataires, durée de conservation, source, logique des décisions automatisées.
- Article 16 — Droit de rectification.
- Article 17 — Droit à l'effacement (« droit à l'oubli ») — avec des exceptions limitées.
- Article 18 — Droit à la limitation du traitement.
- Article 19 — obligation de notification aux destinataires en cas de rectification, d'effacement ou de limitation.
- Article 20 — Droit à la portabilité — export dans un format lisible par machine pour les données fournies par la personne concernée.
- Article 21 — Droit d'opposition — droit absolu pour le marketing direct ; test d'équilibre pour les traitements relevant de l'Article 6(1)(f).
- Article 22 — ne pas faire l'objet de décisions basées exclusivement sur un traitement automatisé produisant des effets juridiques ou significatifs similaires, sauf exceptions limitées ; droit à l'intervention humaine.
Implication pour l'ingénierie : construisez un portail de gestion des demandes des personnes concernées (DSAR) dès le départ. Des flux automatisés avec vérification d'identité économisent des centaines d'heures au fil des années et démontrent la conformité à l'Article 25. C'est particulièrement pertinent pour les entreprises de développement logiciel en France qui créent des produits SaaS destinés au marché européen.
AIPD (Article 35) et quand vous en avez vraiment besoin
L'Article 35(1) impose une Analyse d'Impact relative à la Protection des Données (AIPD) lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés. L'Article 35(3) liste trois déclencheurs obligatoires (décisions automatisées systématiques et extensives avec effets significatifs ; données de catégories spéciales ou pénales à grande échelle ; surveillance systématique de zones accessibles au public). Les Lignes directrices 4/2017 du CEPD ajoutent neuf critères ; deux critères ou plus constituent le seuil pratique. La CNIL publie et met régulièrement à jour sa liste des types de traitements pour lesquels une AIPD est requise en France.
L'Article 35(7) exige que l'AIPD comprenne : une description systématique du traitement, une évaluation de la nécessité et de la proportionnalité, une évaluation des risques, et les mesures d'atténuation envisagées. L'Article 36 impose une consultation préalable auprès de l'autorité de contrôle (la CNIL en France) si le risque résiduel reste élevé après atténuation.
Conservez vos AIPD versionnées dans le même dépôt que votre code. Les auditeurs apprécient les AIPD versionnées qui évoluent avec les releases — c'est la preuve vivante d'une culture de la conformité par conception.
Notification de violation : l'horloge des 72 heures (Articles 33–34)
Article 33(1) : le responsable du traitement notifie l'autorité de contrôle compétente (la CNIL en France, l'APD en Belgique) de toute violation de données personnelles sans délai indu et, dans la mesure du possible, dans les 72 heures suivant la prise de connaissance. Toute notification tardive doit être motivée. Article 33(2) : le sous-traitant notifie le responsable du traitement sans délai indu.
Article 34 : si la violation est susceptible d'engendrer un risque élevé pour les droits et libertés, notifiez les personnes concernées sans délai indu dans un langage clair et simple. Le port de sécurité pour les données chiffrées existe à l'Article 34(3)(a) uniquement si des mesures techniques appropriées (dont le chiffrement) ont été appliquées aux données concernées.
Article 33(5) : documentation interne de chaque violation — notifiable ou non — dans le cadre de la responsabilité au titre de l'Article 5(2).
Préparez votre runbook pour un incident survenant un vendredi soir, car c'est souvent à ce moment-là qu'ils se produisent. Les autorités de contrôle européennes, dont la CNIL, comptent les heures du week-end dans le délai de 72 heures.
Sécurité Article 32 : ce que signifie une bonne pratique en 2026
L'Article 32 impose des mesures techniques et organisationnelles adaptées au risque, notamment : pseudonymisation et chiffrement (32(1)(a)), confidentialité/intégrité/disponibilité/résilience (32(1)(b)), rétablissement de la disponibilité et de l'accès dans des délais appropriés après un incident (32(1)(c)), tests réguliers de l'efficacité (32(1)(d)).
Le niveau plancher de facto en 2026 pour les prestataires informatiques européens et les éditeurs SaaS :
- Certification ISO/IEC 27001:2022 ou rapport SOC 2 Type II.
- TLS 1.2+ partout ; AES-256 au repos ; clés gérées par KMS.
- Authentification multifacteur (MFA) pour tous les accès privilégiés.
- Isolation des locataires dans les SaaS multi-locataires, avec modèle de menaces documenté.
- Test de pénétration annuel par un tiers indépendant.
- Exercice de simulation de réponse aux incidents deux fois par an.
- Calendrier de rétention des données documenté avec application automatisée.
Réalité de l'application : la jurisprudence 2024–2026
L'ère post-Schrems-II a apporté une application soutenue du RGPD. Tendances notables :
- Meta — EUR 1,2 milliard (DPC irlandaise, mai 2023) pour des transferts vers les États-Unis sans mécanisme adéquat. Plus lourde amende RGPD à ce jour.
- Application sur les bandeaux de cookies — la CNIL (France) et le Garante (Italie) sanctionnent activement les dark patterns, les violations de mise en avant équitable et les préoccupations liées aux transferts Google Analytics 4. La CNIL a sanctionné plusieurs grandes entreprises françaises à ce titre en 2024–2025.
- Données des enfants et adtech — amendes TikTok, Instagram, ByteDance dans une fourchette de EUR 245–405 millions.
- Décisions automatisées Article 22 — l'arrêt SCHUFA (CJUE C-634/21, 2023) a élargi la définition d'une « décision » au sens de l'Article 22 ; les fonctionnalités de scoring dans les SaaS sont désormais pleinement concernées.
- Amendes sur les PME — les autorités de contrôle ont montré leur volonté de sanctionner des entreprises de toute taille ; « nous sommes petits » n'est pas une défense. La CNIL a sanctionné des PME françaises pour des manquements au RGPD, notamment dans le secteur du développement logiciel.
Sanctions au titre de l'Article 83 : jusqu'à EUR 10 millions ou 2 % du chiffre d'affaires annuel mondial pour la plupart des manquements procéduraux des sous-traitants ; jusqu'à EUR 20 millions ou 4 % pour les violations des principes fondamentaux, de la base légale, des droits des personnes, des transferts et des injonctions des autorités de contrôle.
Si vous planifiez un lancement en UE ou remedez un programme RGPD, nous réalisons des évaluations des lacunes à prix fixe en deux semaines via notre service de conseil en conformité RGPD ; nous les associons généralement à des missions de développement SaaS ou de développement logiciel sur mesure. Pour les fondateurs sans responsable conformité interne, un CTO fractionné ayant une expérience RGPD opérationnelle est généralement plus rapide qu'un programme uniquement porté par un cabinet juridique. Le cadrage des fonctionnalités IA pour les lancements en UE s'articule avec notre travail de conformité à la loi européenne sur l'IA.
FAQ
Le RGPD s'applique-t-il à mon SaaS américain ?
Oui si l'Article 3(2) vous concerne — offre de biens ou de services à des personnes concernées dans l'UE (tarification en EUR, localisation, marketing ciblé UE) ou suivi de leur comportement. La localisation des serveurs est sans pertinence.
Quelle est l'exigence de représentant UE ?
L'Article 27 impose aux responsables du traitement et sous-traitants non établis dans l'UE relevant de l'Article 3(2) de désigner par écrit un représentant dans l'Union, joignable par les autorités de contrôle (dont la CNIL) et les personnes concernées. Les services de représentants tiers coûtent EUR 1 200–6 000 par an.
Quelle base légale dois-je utiliser ?
Article 6(1)(b) contrat pour la fourniture du service, (f) intérêts légitimes pour l'analytique produit, la sécurité, la fraude et le marketing B2B, (a) consentement uniquement quand les autres bases ne s'appliquent pas. Les catégories spéciales de l'Article 9 ajoutent une base Article 9(2) séparée.
Ai-je besoin d'une AIPD ?
Si les déclencheurs obligatoires de l'Article 35(3) s'appliquent, ou deux critères ou plus des Lignes directrices 4/2017 du CEPD, oui. La CNIL publie une liste spécifique pour les entreprises françaises. Intégrez l'AIPD au processus de release et versionnez-la avec le code.
Comment transférer des données vers les États-Unis ?
Adéquation DPF pour les importateurs certifiés DPF (qui remplace le Privacy Shield invalidé par Schrems II) ; CCT 2021/914 + AIT pour les non-DPF ; BCR pour les transferts intra-groupe. Ne vous appuyez pas sur les dérogations de l'Article 49 pour des transferts systématiques.
Quel est le délai de notification des violations ?
72 heures à compter de la prise de connaissance pour notifier l'autorité de contrôle compétente (Article 33) — la CNIL en France, l'APD en Belgique ; sans délai indu pour les personnes concernées en cas de risque élevé (Article 34). Documentez toutes les violations, notifiables ou non (Article 33(5)).
Le RGPD est une discipline opérationnelle, pas un avenant contractuel
Les fondateurs américains qui traitent le RGPD comme une liste de contrôle d'approvisionnement se heurtent toujours au même mur : une mesure coercitive déclenchée par l'absence d'un représentant UE, un RoPA obsolète ou une modification chez un sous-traitant que personne n'a tracée. Les équipes qui livrent proprement traitent le RGPD comme le SOC 2 — un programme continu de production de preuves intégré au SDLC. C'est précisément ainsi que nous aidons nos clients à le construire, que vous soyez une startup française en phase de lancement ou un éditeur SaaS américain qui entre sur le marché européen.
Dernière mise à jour le 26 mai 2026. Les références renvoient au Règlement (UE) 2016/679 et aux décisions d'exécution de la Commission citées. Rien dans cet article ne constitue un conseil juridique pour une situation spécifique.


