Logiciel RGPD by design : ce que ça signifie concrètement

Toutes les entreprises SaaS basées en Europe disposent d'une politique de confidentialité qui mentionne le RGPD. La plupart l'ont rédigée parce que leur juriste leur a dit qu'il le fallait. C'est la conformité-case-à-cocher, et c'est très différent de ce que nous entendons quand nous parlons de logiciel RGPD by design.

Voici la différence concrète.

Le RGPD by design est une contrainte de conception, pas une tâche juridique

Quand le RGPD est traité comme une obligation légale, on collecte les données que l'on veut, on construit les fonctionnalités que l'on veut, puis on fait réviser le tout par un juriste à la fin. On se retrouve avec une longue politique de confidentialité qui divulgue techniquement tout.

Quand le RGPD est une contrainte de conception, on pose la question avant de construire : avons-nous réellement besoin de ces données ? Si oui, quel est le minimum nécessaire, et combien de temps devons-nous les conserver ? Qui peut y accéder, et peut-on limiter cet accès automatiquement ?

Ces questions changent ce que l'on construit. Elles conduisent souvent à construire moins.

Ce que ça donne dans nos produits

Nous collectons le strict minimum

k-notes stocke vos notes, l'e-mail de votre compte et un mot de passe haché. C'est tout. Pas d'empreinte numérique d'appareil, pas d'analyse de vos habitudes de lecture, pas de suivi comportemental.

k-tasks stocke vos tâches, vos appartenances à des équipes et l'activité de base pour le journal d'audit. Nous n'analysons pas votre utilisation du produit pour vous servir de la publicité, parce que nous ne faisons pas de publicité.

k-cv stocke le contenu de votre CV, parce que c'est le produit. Nous ne le croisons pas avec LinkedIn et ne le vendons pas à des recruteurs. Vos données de carrière vous appartiennent.

Nous conservons les données en Europe

Notre infrastructure fonctionne sur Neon Postgres avec résidence des données dans l'UE. Le réseau edge de Vercel est utilisé pour la livraison, mais le contenu généré par les utilisateurs reste dans des bases de données européennes. C'est important au regard des restrictions de transfert de données du RGPD.

La suppression est réelle

Quand vous supprimez votre compte, vos données sont supprimées. Pas archivées 90 jours "au cas où". Pas conservées indéfiniment dans des sauvegardes. Nous exécutons une tâche cron qui supprime les données des comptes résiliés des sauvegardes sous 30 jours.

Cela semble évident. Ce ne l'est pas. De nombreuses entreprises conservent les données bien plus longtemps que leurs politiques de confidentialité ne le laissent entendre, soit parce que la suppression est difficile à implémenter, soit parce que les données ont de la valeur.

Des analyses sans surveillance

Nous utilisons Vercel Analytics, qui n'utilise pas de cookies et ne suit pas les utilisateurs individuels d'une session à l'autre. Pour les utilisateurs qui y consentent, Google Analytics fournit des données de trafic agrégées. Nous n'utilisons pas de pixels, de reciblage publicitaire ou de traceurs tiers.

Pourquoi c'est important pour les entreprises qui achètent des logiciels

Si vous achetez des outils SaaS pour votre entreprise, les obligations RGPD s'étendent à vous. Lorsque vous utilisez un outil qui traite des données personnelles de vos clients ou de vos collaborateurs, vous devenez le responsable de traitement. L'entreprise SaaS est votre sous-traitant. En vertu du RGPD, vous êtes responsable de vous assurer que ce sous-traitant respecte les standards requis.

Cela signifie que les pratiques de confidentialité des outils que vous utilisez sont aussi votre problème.

Quelques questions à poser à vos fournisseurs SaaS actuels :

• Où nos données sont-elles stockées ?
• Combien de temps sont-elles conservées après notre résiliation ?
• Partagez-vous nos données avec des tiers ? À quelles fins ?
• Pouvons-nous obtenir un accord de traitement des données (DPA) ?

Les bons fournisseurs répondent immédiatement à ces questions. Les réponses évasives sont un signal d'alarme.

L'argument commercial en faveur de la vie privée

Les logiciels respectueux de la vie privée ne sont pas seulement éthiquement préférables — ils constituent de plus en plus un avantage commercial. Les clients entreprise dans les secteurs réglementés (finance, santé, juridique) exigent des fournisseurs conformes au RGPD avant de signer des contrats. La confidentialité est devenue un critère d'achat.

C'est aussi plus simple opérationnellement. Ne pas collecter de données inutiles signifie moins à protéger, moins de risque en cas de violation, moins à gérer quand quelqu'un exerce son droit à l'effacement.

Nous n'avons pas construit des logiciels RGPD by design parce que la conformité est rentable. Nous les avons construits ainsi parce que cela correspond à notre vision de ce que devrait être un logiciel : vous payez pour un service, le service fonctionne, vos données vous appartiennent.

---

Si vous construisez un produit et souhaitez réfléchir à l'architecture de confidentialité dès le départ, nous sommes disponibles pour vous conseiller. Une bonne conception de la vie privée est bien plus facile à intégrer en amont qu'à retrofitter après coup.