Avant de signer : ce qu'un cabinet doit exiger de son éditeur SaaS
Confier son portefeuille à un éditeur ne dispense de rien : le cabinet reste responsable des données qu'il traite. La sécurité d'un logiciel SaaS de courtage se vérifie avant la signature, contrat en main — pas après l'incident. Sept points à passer en revue, et des questions à poser par écrit.
- Le cabinet reste responsable de traitement au sens du RGPD : l'éditeur SaaS est un sous-traitant, encadré par un DPA écrit.
- Hébergement dans l'Union européenne, chiffrement en transit et au repos, droits par profil : trois exigences de base, à obtenir par écrit.
- La traçabilité des accès — qui a consulté quoi, et quand — protège le cabinet autant que ses clients.
- La réversibilité se négocie avant d'entrer : format d'export, complétude, délai et coût de restitution.
- En santé et prévoyance, les données de santé relèvent de l'article 9 du RGPD : elles imposent un niveau d'exigence supérieur.
Sécurité d'un logiciel SaaS de courtage : l'éditeur héberge, le cabinet répond
Le RGPD distingue deux rôles : le responsable de traitement, qui décide pourquoi et comment les données sont traitées, et le sous-traitant, qui les traite pour son compte. Un cabinet de courtage qui adopte un SaaS reste responsable de traitement ; l'éditeur devient son sous-traitant. Externaliser l'hébergement n'externalise ni la responsabilité, ni l'obligation de choisir un prestataire présentant des protections suffisantes.
Conséquence pratique : les questions de cette page ne relèvent pas de la curiosité technique mais de la diligence du dirigeant. Un éditeur sérieux y répond par écrit, sans détour. Celui qui élude, temporise ou renvoie à « nos équipes techniques » sans produire de document vous renseigne déjà sur la suite.
Hébergement : savoir où dorment vos données
Première question, la plus simple : où les données sont-elles physiquement hébergées, et chez quel prestataire d'infrastructure ? Pour un cabinet français, un hébergement dans l'Union européenne est le choix de simplicité : il évite d'examiner l'encadrement juridique des transferts hors UE, sujet mouvant qui dépasse les moyens d'une petite structure.
La localisation des serveurs ne dit pas tout : demandez aussi la liste des sous-traitants ultérieurs — l'hébergeur, mais aussi les services d'envoi d'e-mails, de signature, de supervision — et depuis quels pays le support de l'éditeur peut accéder aux données. Un hébergement européen avec un support qui se connecte depuis un pays tiers mérite au minimum une question écrite.
Chiffrement : en transit et au repos, pas l'un sans l'autre
Le chiffrement en transit (TLS) protège les échanges entre votre navigateur et le serveur ; c'est un standard dont l'absence est disqualifiante. Le chiffrement au repos protège les données stockées — bases et sauvegardes — en cas d'accès physique ou de copie illégitime. Les deux se complètent : demandez explicitement lesquels sont en place, sur quelles données.
Complétez par les questions d'authentification : les mots de passe sont-ils stockés sous forme hachée, et pouvez-vous imposer l'authentification multifacteur à toute l'équipe ? Dans un cabinet, le poste le plus exposé n'est pas le serveur de l'éditeur, mais le compte d'un collaborateur au mot de passe réutilisé.
Droits d'accès et traçabilité : qui a vu quoi, et quand
Tout le monde n'a pas à tout voir. Un assistant n'a pas besoin d'accéder aux données de santé d'un dossier prévoyance ; un mandataire ne doit voir que son portefeuille, pas celui du réseau. Vérifiez que le logiciel gère des profils de droits fins — par rôle, par portefeuille, par module — et non un accès unique partagé.
La traçabilité complète le dispositif : un journal des actions horodaté permet d'établir qui a consulté ou modifié quoi, et quand. C'est une protection dans les deux sens — pour le client, dont les données ne sont pas consultées sans raison, et pour le cabinet, qui peut documenter sa gestion en cas de litige ou de contrôle. Lizzee, par exemple, tient un journal d'audit horodaté scellé par empreintes SHA-256 : demandez à chaque éditeur son équivalent.
Sauvegardes et réversibilité : préparez la sortie avant d'entrer
Sur les sauvegardes, trois questions : à quelle fréquence sont-elles réalisées, combien de temps sont-elles conservées, et surtout sont-elles testées ? Une sauvegarde jamais restaurée n'est qu'un espoir. Demandez la date du dernier test de restauration : la réponse — ou son absence — en dit long.
La réversibilité est le pendant contractuel : si vous quittez l'éditeur, que récupérez-vous, sous quel format, dans quel délai, à quel coût ? Un export complet — contacts, contrats, documents, historique des actions — dans un format exploitable doit être prévu au contrat, pas promis à l'oral. Ce point pèse directement dans le coût complet d'un logiciel de courtage : une sortie impossible se paie en dépendance tarifaire.
Le DPA, la pièce contractuelle qu'on ne lit jamais
L'accord de sous-traitance, le DPA, est imposé par l'article 28 du RGPD dès qu'un prestataire traite des données personnelles pour votre compte. Il précise l'objet et la durée du traitement, les catégories de données, les obligations de l'éditeur, les conditions de notification en cas de violation de données et le sort des données à la fin du contrat.
Trois clauses méritent une lecture attentive : la liste des sous-traitants ultérieurs et la façon dont vous êtes informé d'un changement, l'assistance de l'éditeur quand un client exerce ses droits (accès, effacement), et la suppression ou restitution effective des données en fin de contrat. Un éditeur sans DPA, ou avec un DPA introuvable, n'est pas au niveau requis pour héberger un portefeuille d'assurance. Sur la répartition des rôles et les durées de conservation, le guide RGPD du cabinet de courtage complète point par point.
Santé et prévoyance : la donnée de santé change tout
Toutes les données d'un cabinet ne se valent pas juridiquement. Les données patrimoniales — revenus, encours, contrats — sont confidentielles, mais ne sont pas des « données sensibles » au sens de l'article 9 du RGPD. Les données de santé, si. Un cabinet actif en santé, prévoyance ou emprunteur manipule questionnaires et informations médicales : le niveau d'exigence monte d'un cran.
Concrètement : minimisation (ne collecter que ce que le devoir de conseil exige), accès restreint aux seuls collaborateurs qui en ont besoin, et questions spécifiques à l'éditeur sur le traitement réservé à ces données. Le sujet est développé côté outil dans notre page sur le logiciel pour courtier santé et prévoyance et, côté organisation, dans le cas pratique d'un cabinet santé-prévoyance.
Les dix questions à envoyer à l'éditeur avant de signer
À adresser par écrit — les réponses rejoindront votre dossier de diligence :
Aucune de ces questions n'exige de compétence technique, et les réponses écrites se comparent d'un éditeur à l'autre. Intégrez-les à votre grille au moment de choisir le logiciel du cabinet : la sécurité se compare aussi à périmètre égal.
- Où les données sont-elles hébergées, chez quel prestataire d'infrastructure ?
- Qui sont les sous-traitants ultérieurs, et comment sommes-nous informés d'un changement ?
- Les données sont-elles chiffrées en transit et au repos ?
- L'authentification multifacteur est-elle disponible, et peut-on l'imposer à l'équipe ?
- Comment les droits d'accès sont-ils gérés par profil, rôle et portefeuille ?
- Les consultations et modifications de dossiers sont-elles journalisées et horodatées ?
- Quelle est la fréquence des sauvegardes, et à quand remonte le dernier test de restauration ?
- Que contient l'export de réversibilité, sous quel format, dans quel délai et à quel coût ?
- Que prévoit le DPA en cas de violation de données : délais, contenu de la notification ?
- Quel traitement spécifique est réservé aux données de santé, si notre activité en collecte ?
FAQ
Un hébergement hors Union européenne est-il rédhibitoire ?
Il n'est pas interdit en soi, mais il déplace sur le cabinet la charge de vérifier l'encadrement juridique du transfert — un sujet mouvant, technique, disproportionné pour une petite structure. À offre comparable, l'hébergement dans l'Union européenne reste le choix de simplicité et de prudence, y compris pour les accès distants du support.
Qu'est-ce qu'un DPA et est-il obligatoire ?
Le DPA est le contrat de sous-traitance prévu par l'article 28 du RGPD : il encadre le traitement que l'éditeur réalise pour votre compte — objet, durée, sécurité, notification des violations, sort des données en fin de contrat. Il est obligatoire dès qu'un prestataire traite des données personnelles pour vous. Son absence est un signal disqualifiant, quelle que soit la qualité du produit.
Le chiffrement au repos est-il vraiment nécessaire pour un petit cabinet ?
Oui, parce que le risque ne dépend pas de votre taille mais de la nature des données : identités, situations financières, parfois santé. Le chiffrement au repos protège les bases et les sauvegardes en cas de copie ou d'accès illégitime à l'infrastructure. C'est aujourd'hui une pratique standard chez les éditeurs sérieux ; c'est son absence qui doit désormais se justifier.
Comment tester la réversibilité avant de signer ?
Demandez trois choses : la clause contractuelle de réversibilité, un exemple concret d'export (structure des fichiers, formats), et le délai et coût de restitution. Certains éditeurs fournissent un export d'essai sur données de démonstration — c'est la meilleure preuve. Si la réponse se limite à « c'est possible » sans document, considérez que la sortie n'est pas prévue et négociez-la avant signature.
Le support de mon éditeur peut-il consulter les dossiers de mes clients ?
Seulement s'il en a un besoin réel et tracé. Exigez des accès support nominatifs, journalisés et limités au périmètre du ticket : qui a ouvert quel dossier, quand, pourquoi. Les bons éditeurs fonctionnent sur autorisation ponctuelle, accordée par le cabinet et révocable. Un support qui entre partout, en permanence et sans trace, est un signal d'alarme pour votre devoir de vigilance.
Solutions Lizzee
Voyez Lizzee sur vos cas.
Démo en ligne immédiate, ou démonstration guidée sur vos scénarios — sans engagement.
Demander une démo