ERP en SaaS : sécurité, RGPD et hébergement… ce que toute PME doit savoir

|

Mathilde Rolando

|

,

Confier la gestion de son ERP à un prestataire cloud, c’est un peu comme sous-louer la chambre forte de son entreprise. Ça offre une vraie liberté opérationnelle, mais encore faut-il savoir à qui on remet les clés.

Il y a quelques années, la question ne se posait presque pas. Un ERP, ça s’installait sur les serveurs de l’entreprise, géré par l’équipe informatique interne ou un prestataire de proximité. On savait où étaient les données. Aujourd’hui, la majorité des nouveaux projets ERP partent directement en SaaS pour plusieurs raisons : déploiement rapide, mises à jour automatiques, accessibilité depuis n’importe quel site ou appareil, et coût initial bien plus maîtrisé.

Mais cette migration vers le cloud soulève des questions que beaucoup de dirigeants de PME préfèrent remettre à plus tard. Sécurité des données, conformité RGPD, localisation des serveurs : autant de sujets perçus comme complexes ou réservés aux grandes entreprises. Ce serait une erreur de les ignorer. Pas parce qu’il faut s’en inquiéter, mais parce que les comprendre, c’est vous permettre de bien choisir votre ERP, et de poser les bonnes questions à son prestataire.

Qu’est-ce qu’un ERP en SaaS ?

Un ERP, ou Enterprise Resource Planning, est un logiciel qui centralise la gestion d’une entreprise : comptabilité, stocks, achats, ressources humaines, relation client. Lorsqu’il est en mode SaaS (Software as a Service), ce logiciel n’est plus installé sur vos propres serveurs, il est hébergé et maintenu par un prestataire externe, accessible depuis un simple navigateur web, moyennant un abonnement mensuel.

À l’opposé, un ERP on premise est installé directement sur les serveurs de l’entreprise. C’est l’entreprise qui en assure la maintenance, les mises à jour et la sécurité, avec l’aide d’une équipe informatique interne ou d’un prestataire. Elle garde un contrôle total sur ses données, mais supporte aussi l’intégralité des coûts d’infrastructure. Le SaaS transfère cette charge au prestataire, ce qui allège considérablement la gestion au quotidien, mais soulève d’autres questions, notamment sur la sécurité et la souveraineté des données. 

Ce que « déléguer l’hébergement » veut vraiment dire

Vos données ont une adresse et elle compte

Quand vous souscrivez à un ERP en SaaS, vos données — commandes clients, fiches fournisseurs, paie, comptabilité — ne vivent plus dans votre bâtiment. Elles résident sur les serveurs de votre prestataire, quelque part dans un datacenter. Ce « quelque part » compte bien plus qu’on ne le croit.

Un datacenter en France ou en Allemagne, c’est une chose : vos données sont soumises au droit européen, protégées par le RGPD, et accessibles uniquement selon des procédures encadrées.

Le piège du Cloud Act américain

Mais le problème ne vient pas forcément de la localisation du datacenter. Il vient de la nationalité juridique de l’opérateur qui le gère. C’est là qu’entre en jeu le Cloud Act américain, adopté en 2018 : cette loi autorise les autorités américaines à exiger d’une entreprise de droit américain qu’elle leur transmette des données, peu importe où ces données sont physiquement hébergées dans le monde.

Concrètement, si votre ERP est hébergé dans un datacenter situé en France, mais opéré par une filiale d’un groupe américain, vos données restent potentiellement accessibles aux autorités américaines. Ce n’est pas une théorie : c’est du droit applicable, et c’est pourquoi la nationalité juridique de l’opérateur compte autant que l’adresse postale du serveur.

La bonne nouvelle : de nombreux éditeurs ERP ont pris ce sujet au sérieux. Ils hébergent leurs infrastructures en Union européenne, chez des opérateurs eux-mêmes européens, et peuvent le prouver contractuellement. Mais ce n’est pas systématique, et ça se vérifie avant de signer, pas après.

La sécurité, un sujet trop souvent résumé à une page marketing

Tous les prestataires SaaS affichent fièrement « données sécurisées » ou « infrastructure de haute disponibilité » sur leur site. Ces formules ne veulent pas dire grand-chose si elles ne sont pas adossées à des engagements contractuels précis.

Chiffrement, authentification et sauvegardes

Concrètement, plusieurs éléments méritent d’être vérifiés : 

  • Le chiffrement des données : à la fois pendant leur transit (lorsqu’elles voyagent entre votre navigateur et le serveur) et au repos (lorsqu’elles sont stockées).
  • La robustesse de la politique d’authentification : un ERP accessible avec un simple mot de passe, sans vérification en deux étapes, reste une porte ouverte.
  • Les sauvegardes : à quelle fréquence sont-elles réalisées, et où sont-elles stockées ? Une sauvegarde conservée au même endroit que les données originales ne protège de rien en cas de sinistre.

Plan de Reprise d’Activité et contrat

Enfin, il faut s’assurer que le prestataire dispose d’un Plan de Reprise d’Activité documenté, c’est-à-dire une procédure claire pour remettre le système en fonctionnement après un incident, avec des délais précis à la clé.

Ces éléments devraient figurer noir sur blanc dans votre contrat, sous forme de SLA (Service Level Agreement). Un prestataire sérieux n’hésite pas à les formaliser. S’il esquive ou renvoie vers une documentation vague, c’est un signal d’alerte.

Les certifications, un repère fiable

Les certifications constituent un autre repère utile. L’ISO 27001 atteste qu’un prestataire a mis en place un système de management de la sécurité de l’information audité par un tiers indépendant. Le SOC 2 Type II, très répandu dans le monde du SaaS, certifie que les contrôles de sécurité fonctionnent de manière continue, pas seulement le jour de l’audit. Ces labels ne garantissent pas l’infaillibilité, aucun système n’est inviolable, mais ils attestent d’une démarche sérieuse.

RGPD : vous restez responsable, même en SaaS

Responsable du traitement : ce que ça veut dire pour vous

C’est le point que beaucoup de PME découvrent trop tard : adopter un ERP en SaaS ne transfère pas votre responsabilité juridique sur les données personnelles. Vous demeurez ce que le RGPD appelle le « responsable du traitement ». 

Votre prestataire SaaS, lui, devient un “sous-traitant ». Cette distinction n’est pas qu’une question de vocabulaire : elle détermine qui doit faire quoi en cas de problème.

Le DPA, un document obligatoire que trop de PME oublient

En pratique, cela signifie que vous devez signer avec votre prestataire un document spécifique : le DPA, ou Data Processing Agreement. Ce contrat de sous-traitance précise comment les données sont traitées, dans quel but, avec quelles garanties. Il est obligatoire au sens du RGPD, et pourtant, il est encore fréquent que des PME l’omettent, parfois parce que le prestataire ne l’a pas proposé spontanément.

Le DPA doit également lister les éventuels sous-traitants de votre prestataire. Un éditeur SaaS qui héberge chez AWS ou Azure, par exemple, doit le mentionner. Ces plateformes doivent elles-mêmes offrir des garanties conformes au RGPD. La chaîne de responsabilité remonte jusqu’à vous.

Droits des personnes et notification des violations

Autres points à ne pas négliger : votre prestataire doit être capable de vous aider à exercer les droits des personnes (accès, rectification, suppression de données) dans les délais légaux. Et en cas de violation de données (fuite, intrusion, perte), il a l’obligation de vous en informer dans les 72 heures, pour que vous puissiez à votre tour notifier la CNIL si nécessaire.

Les questions à poser avant de signer

Avant de signer, voici les questions essentielles à soumettre à votre prestataire :

  • Où sont hébergées mes données, et par qui ? Pas juste le nom du datacenter, demandez le nom de l’entité juridique qui opère l’infrastructure.
  • Est-ce qu’un DPA est inclus dans le contrat, ou faut-il le demander explicitement ?
  • Quelle est la procédure en cas d’incident de sécurité ?
  • Comment puis-je récupérer mes données si je décide de changer de prestataire demain ? Dans quel format, et dans quel délai ?
  • Est-ce que je peux consulter votre dernier rapport d’audit de sécurité ?

Ces questions peuvent sembler techniques, mais elles sont parfaitement légitimes. Un prestataire qui les reçoit bien et y répond clairement est généralement un partenaire de confiance. Un prestataire qui les botte en touche mérite qu’on s’interroge sur la suite.

En résumé : la confiance, ça se contractualise

Passer son ERP en SaaS, c’est souvent le bon choix pour une PME qui veut rester concentrée sur son activité plutôt que sur la gestion d’une infrastructure informatique. La sécurité, le RGPD et l’hébergement sont des sujets à traiter sérieusement, en amont, avec les bonnes questions.

La différence entre un prestataire moyen et un bon prestataire ne se voit pas toujours dans l’interface du logiciel. Elle se révèle dans la qualité du contrat, la transparence sur l’infrastructure, et la capacité à répondre précisément aux questions que vous poserez. Alors autant les poser.

LMB, l’ERP conçu pour les PME

Chez LUNDI MATIN, nous avons conçu LMB avec ces enjeux en tête. Hébergement, sécurité, conformité RGPD : nous jouons la transparence totale sur ces sujets, parce que nous pensons que c’est la base d’une relation de confiance durable avec nos clients. Si vous avez des questions sur notre infrastructure ou nos engagements contractuels, nos équipes sont là pour y répondre sans détour.

Découvrir LMB

FAQ – Questions fréquentes sur l’ERP en Saas

Un ERP en SaaS est-il conforme au RGPD ?

Oui, à condition de signer un DPA avec votre prestataire et de vérifier que les données sont hébergées chez un opérateur de droit européen. Vous restez responsable du traitement des données personnelles, même en SaaS.

Où sont stockées les données d’un ERP en SaaS ?

Cela dépend du prestataire. L’emplacement du datacenter ne suffit pas : la nationalité juridique de l’opérateur compte autant, car une entreprise de droit américain reste soumise au Cloud Act même si ses serveurs sont en Europe.

Qu’est-ce que le Cloud Act et quel impact a-t-il sur mon ERP ?

Le Cloud Act (2018) autorise les autorités américaines à accéder aux données d’entreprises de droit américain, où qu’elles soient hébergées. Si votre prestataire est une entreprise américaine, vos données peuvent être concernées, même si les serveurs sont en France.

Qu’est-ce qu’un DPA et est-il obligatoire ?

Le DPA (Data Processing Agreement) est un contrat obligatoire au sens du RGPD. Il précise comment votre prestataire traite vos données et avec quelles garanties. Sans DPA signé, votre entreprise est en infraction.

Comment savoir si mon prestataire ERP en SaaS est sécurisé ?

Vérifiez ses certifications (ISO 27001, SOC 2 Type II), le chiffrement des données et l’existence d’un SLA détaillant ses engagements de disponibilité et de reprise d’activité.

Que se passe-t-il si mon prestataire SaaS subit une fuite de données ?

Il doit légalement vous informer dans les 72 heures. Vous devez ensuite notifier la CNIL si la violation concerne des données personnelles présentant un risque pour les personnes concernées.

Les dernières actualités du groupe

Voir plus d’actualités
Lundi Matin - Business Omnicanal

    1
    2
    3
    4
    5

    Vous avez un projet ?

    Faisons connaissance !
    Répondez à quelques questions et nous vous accompagnerons à la réalisation de votre projet.

    À propos de vous ?

    Vos coordonnées

      À propos de votre société

      Taille de la société (nombre de collaborateurs)

      Décrivez votre besoin, votre projet

      Décrivez votre besoin, votre projet

      Quels sont les délais souhaités pour la mise en place de votre projet ?

      Avant de partir 👋 rejoignez notre communauté, elle est plutôt sympa ! 😉

      • 1 newsletter géniale par mois
      • Des Livres Blancs, Infographies, Guides pratiques, webinars… pour apprendre
      • Des conseils super pratiques délivrés par des experts
      • Une fenêtre sur la communauté Lundi Matin !

      *champs obligatoires

      La société Lundi matin collecte vos données personnelles pour vous adresser sa newsletter. Désabonnez-vous à tout moment.
      Pour + d’infos, voir notre politique de confidentialité.