En tant que MJPM, vous êtes responsable de traitement au sens du RGPD. Quand vous signez avec un éditeur de logiciel métier, l'éditeur devient votre sous-traitant au sens de l'article 28 du RGPD — mais la responsabilité finale reste la vôtre. Si un éditeur perd ou expose les données de vos majeurs protégés, c'est votre nom qui apparaît dans la déclaration CNIL et c'est vous qui devrez expliquer aux familles ce qui s'est passé.

Le marché des logiciels MJPM est petit, peu contrôlé, et certains acteurs ont un niveau de sécurité qui ne correspond pas à la sensibilité des données traitées. Voici cinq questions qui permettent de trier en quelques minutes.

01.Où sont physiquement stockées les données ?

"Hébergé en France" est devenu un argument marketing standard, mais la formule cache souvent des nuances importantes. Demandez précisément :

  • Le pays exact du datacenter principal (pas seulement "Europe" ou "UE")
  • L'opérateur qui héberge réellement les serveurs (OVH, Scaleway, AWS, Azure, GCP, autre)
  • Le statut juridique de cet opérateur : société de droit français/européen, ou filiale d'un groupe non-européen ?
  • L'existence d'un mécanisme de redondance géographique et où sont les copies

Le sujet de fond, c'est le Cloud Act américain : si votre éditeur héberge sur AWS Paris ou Azure France, les données sont géographiquement en France mais juridiquement accessibles aux autorités américaines sur réquisition. Pour des dossiers de protection juridique, c'est un sujet sérieux. Préférez un hébergeur de droit français ou européen sans capital américain.

Red flag

L'éditeur ne sait pas vous répondre précisément, ou répond "on est sur le cloud" sans plus de détails. Un éditeur sérieux a cette information sur sa page sécurité publique.

02.Comment les données sont-elles chiffrées ?

Le chiffrement a deux niveaux distincts qu'il faut différencier :

  • Chiffrement en transit (TLS / HTTPS) : c'est le minimum vital, et tout éditeur sérieux le fait depuis dix ans. Vérifiez juste que l'URL commence bien par https:// et que le certificat est valide.
  • Chiffrement au repos (at-rest, sur les disques) : c'est là que les éditeurs varient énormément. Un éditeur peut très bien stocker votre base de données en clair sur un disque, ce qui veut dire qu'un employé du datacenter, un sous-traitant de maintenance ou un ransomware peut tout lire.

Demandez à voir, dans la documentation, la mention explicite de chiffrement at-rest (souvent AES-256) et le périmètre couvert : la base de données, les pièces jointes, les sauvegardes. Les trois doivent être chiffrés.

Pour les éditeurs les plus sérieux, vous trouverez aussi mention de chiffrement applicatif sur les champs les plus sensibles (numéros de compte, mots de passe), avec une clé séparée du stockage. C'est un plus, pas une obligation.

Red flag

L'éditeur parle uniquement de "HTTPS" ou de "connexion sécurisée" quand vous demandez "comment les données sont chiffrées sur vos serveurs". Ce n'est pas la même question.

03.Qui d'autre voit les données ?

L'article 28 du RGPD impose au sous-traitant (l'éditeur) de tenir un registre des sous-traitants ultérieurs — c'est-à-dire de la chaîne de prestataires qui interviennent sur votre service. Hébergeur, prestataire de sauvegarde, outil d'envoi d'emails, prestataire d'OCR, fournisseur d'IA, support externalisé : chaque maillon doit être identifié.

Demandez :

  • La liste à jour des sous-traitants ultérieurs (le "subprocessor list" en jargon)
  • Le pays d'établissement de chacun et leurs garanties RGPD
  • Le processus de notification en cas d'ajout d'un nouveau sous-traitant (vous devez pouvoir vous y opposer)
  • Les fonctionnalités IA spécifiquement : qui est le fournisseur du modèle, vos données servent-elles à l'entraîner, où sont-elles traitées ?

Ce dernier point devient critique : beaucoup d'éditeurs ont branché ChatGPT ou Claude derrière une interface "IA" sans vraiment expliquer où passent les données. Pour des dossiers de protection juridique, envoyer un courrier de tutelle à un modèle hébergé aux États-Unis pose des questions de fond.

Red flag

L'éditeur n'a pas de liste publique de sous-traitants, ou refuse de la communiquer "pour des raisons de confidentialité commerciale". Cette liste est explicitement obligatoire au titre du RGPD.

04.Que se passe-t-il si tout part en fumée ?

Les sauvegardes ne valent que si elles peuvent être restaurées. C'est une banalité que beaucoup d'éditeurs oublient. Demandez :

  • La fréquence des sauvegardes (idéalement plusieurs fois par jour pour la base, quotidienne pour les pièces)
  • La durée de rétention (combien de temps une sauvegarde est conservée)
  • La localisation des sauvegardes : un site différent du datacenter principal, sinon un incendie détruit tout
  • La fréquence des tests de restauration (idéalement plusieurs fois par an, pas "en théorie ça marche")
  • Le RPO et RTO contractuels : combien de données vous pouvez perdre en cas d'incident (RPO), et en combien de temps le service revient (RTO)

Un éditeur sérieux a des chiffres. "On fait des sauvegardes" n'est pas une réponse acceptable pour un service qui contient les jugements de tutelle de plusieurs centaines de majeurs.

Une sauvegarde non testée n'est pas une sauvegarde, c'est un espoir.

05.Pouvez-vous repartir ?

La réversibilité est probablement la question la plus négligée et la plus critique. Le scénario : dans deux ans, l'éditeur augmente ses tarifs de 40 %, change de stratégie, ou fait faillite. Que faites-vous ? Si vos données sont prisonnières, vous n'avez plus de pouvoir de négociation.

Demandez, et faites écrire dans le contrat :

  • Le format d'export de vos données (CSV, JSON, XML, SQL — pas un PDF inutilisable)
  • Le périmètre exporté : toutes les données, y compris pièces jointes, journaux, comptabilité, historiques
  • Le délai garanti entre la demande et la mise à disposition de l'export
  • La clause de réversibilité en cas de fin de contrat : combien de temps avez-vous pour récupérer ? Quelle est la durée de conservation par l'éditeur après résiliation avant suppression ?
  • L'existence d'une procédure documentée et idéalement déjà testée par d'autres clients
Red flag

Le contrat ne mentionne pas la réversibilité, ou mentionne un export "sur devis" sans prix ni délai. C'est un signe que l'éditeur compte sur le verrouillage commercial.

Une grille pour résumer

Avant de signer, vous devriez avoir des réponses écrites à ces cinq questions, idéalement issues d'une page sécurité publique de l'éditeur ou d'une fiche technique. Si l'éditeur vous dit "je vais vous chercher l'information" sur trois questions sur cinq, c'est que le sujet n'est pas mature en interne.

Le bon réflexe : demandez à l'éditeur sa page sécurité publique (URL directe). Un éditeur sérieux a publié sa posture en ligne — l'absence de page publique est en soi un signal.

Et un dernier conseil : ne faites pas confiance à un éditeur qui vous dit que ses concurrents sont mauvais sur ces sujets. Faites-vous votre propre opinion en posant les questions directement aux uns et aux autres.

Et concrètement ?

Aidalys publie ses critères de sécurité en clair

Aidalys, éditeur de ce guide, applique cette grille à son propre logiciel. Hébergement, chiffrement, sous-traitants, sauvegardes, réversibilité : tout est documenté.

Voir la page sécurité d'Aidalys ↗