RGPD et automatisation des commandes B2B : ce que vous devez savoir sur l'hébergement de vos données

Quand une PME évalue une solution d'automatisation des commandes, elle compare les taux d'automatisation, les intégrations ERP et les prix. Rarement elle pose la question : où sont hébergées mes données de commandes, et dans quel cadre juridique ?

C'est pourtant un critère important, pas pour faire peur, mais parce que la réglementation est claire et que quelques bonnes pratiques suffisent à être en ordre.

Ce que contiennent vos données de commandes

Chaque bon de commande traité par une solution d'automatisation contient des données sensibles :

• Données commerciales : volumes commandés, fréquences d'achat, conditions tarifaires négociées, remises accordées

• Données client : nom de l'acheteur, coordonnées, adresses de livraison, contacts internes

• Données produits : références, nomenclatures

• Données financières : prix unitaires, montants de commandes, conditions de paiement

Agrégées dans le temps, ces données forment une cartographie précise de votre activité. Autant savoir où elles sont stockées et dans quelles conditions.

Ce que le RGPD exige concrètement

Le RGPD s'applique dès qu'une donnée personnelle est traitée, et les commandes B2B en contiennent : noms des acheteurs, adresses e-mail, coordonnées de livraison. Lorsque vous confiez ce traitement à un éditeur externe, trois obligations s'appliquent.

1. Signer un DPA.

   L'éditeur devient sous-traitant au sens du RGPD. Un contrat de traitement des données (DPA, Data Processing Agreement) doit être conclu, précisant les finalités, la durée de conservation et les garanties appliquées.

   
   

2. Savoir où les données sont traitées.

   Si les données sortent de l'UE, ce flux doit être encadré par une décision d'adéquation ou le Data Privacy Framework EU-US pour les États-Unis.

   
   

3. Pouvoir le démontrer.

   En cas de contrôle, vous devez être en mesure de démontrer que vous avez évalué les garanties offertes par votre sous-traitant

Hébergement en France et grands clouds américains

Utiliser Google Cloud, AWS ou Azure n'est pas incompatible avec la conformité RGPD. Ces fournisseurs proposent généralement des engagements contractuels RGPD, des régions d’hébergement en France ou en Europe, et peuvent s’appuyer, selon les entités concernées et les flux en cause, sur des mécanismes de transfert comme le EU-US Data Privacy Framework ou les clauses contractuelles types.

Ces éléments sont importants:

• La région de déploiement : les données sont-elles stockées physiquement en France, en Europe out au USA ?

• Le DPA en place : est-il signé, documenté, et couvre-t-il les sous-traitants ultérieurs ?

• Le chiffrement : les données sont-elles chiffrées au repos et en transit, avec des clés gérées de manière sécurisée ?

Pour une PME, ces trois points constituent un bon socle de due diligence fournisseur, mais ils ne résument pas à eux seuls l’ensemble des obligations RGPD.

Les questions à poser à votre éditeur

Voici les quatre questions concrètes à poser avant de signer.

1. Dans quelle région exacte mes données sont-elles hébergées ?

   "Serveurs en Europe" ne suffit pas. Demandez le pays, la région cloud précise, et si la réplication est activée vers d'autres régions.

   
   

2. Existe-t-il un DPA signable ?

   Il doit lister les finalités du traitement, la durée de conservation, la procédure en cas de violation de données, et les sous-traitants ultérieurs (notamment le fournisseur cloud).

   
   

3. Comment les données sont-elles chiffrées ?

   Chiffrement au repos et en transit minimum. C'est un standard aujourd'hui pour tout fournisseur sérieux.

   
   

4. Où trouver votre politique de confidentialité ?

   Elle doit être publique, lisible, et à jour. Son absence ou son caractère générique est un signal d'alerte.

Questions fréquentes

Mon éditeur dit "conforme RGPD", est-ce suffisant ?

Non. C'est une déclaration, pas une garantie. Vérifiez qu'un DPA existe et est signable, que l'hébergement est documenté précisément, et que les sous-traitants ultérieurs sont listés. Ces trois éléments sont vérifiables en cinq minutes.

Les fournisseurs cloud américains sont-ils soumis au Cloud Act ?

Les principaux fournisseurs cloud américains (AWS, Google Cloud, Microsoft Azure, etc.) sont des entreprises américaines et sont donc techniquement soumis au Cloud Act. Cependant, cette question doit être remise en perspective : si votre entreprise utilise déjà des services comme Outlook, Teams, Gmail, Slack ou Microsoft 365, vous êtes probablement déjà concerné, puisque ces plateformes traitent quotidiennement vos e-mails professionnels, vos pièces jointes et vos échanges internes sur des infrastructures opérées par des entreprises américaines.

En pratique, le risque pour une PME reste très faible. Les demandes des autorités américaines sont extrêmement encadrées et concernent des cas spécifiques liés à des enquêtes judiciaires.

Mon volume de commandes est faible, suis-je concerné ?

Le RGPD s'applique indépendamment du volume. Dès qu'un nom ou une adresse e-mail est traité, les obligations s'appliquent. En pratique, avoir un DPA signé et un hébergement documenté est suffisant pour une PME standard.