Où vivent les données de vos clients ? (et pourquoi ça vous engage)
Quand vous gérez les données de vos clients, vous êtes responsable de leur sécurité, y compris des outils que vous utilisez. Voici les bonnes questions à poser : hébergement, chiffrement, accès, et conformité RGPD.

Sommaire
Quand un client vous confie ses informations (coordonnées, contrats, montants, parfois des données sensibles), il vous fait confiance. Mais cette confiance ne s'arrête pas à vous : elle s'étend à tous les outils dans lesquels vous mettez ces données. Votre logiciel de gestion, votre messagerie, votre stockage. Si l'un d'eux fuit, c'est votre responsabilité, et votre réputation.
La plupart des consultants ne se posent jamais la question "où vivent mes données ?". Voici pourquoi il faut le faire, et les bonnes questions à poser.
Vous êtes responsable, même via vos outils
Le RGPD est clair sur un point : si vous traitez des données personnelles (et le simple fait d'avoir un fichier clients en est un), vous en êtes responsable. Cette responsabilité inclut le choix de vos sous-traitants, c'est-à-dire les outils que vous utilisez.
Autrement dit : si votre logiciel de gestion héberge vos données dans un pays sans protection équivalente, ou subit une fuite, vous ne pouvez pas vous défausser entièrement sur l'éditeur. Vous avez l'obligation de choisir des outils sérieux. C'est un devoir, mais aussi un argument commercial : vos clients soigneux y seront sensibles.
Question 1 : où sont physiquement hébergées les données ?
C'est la question fondamentale. Des données hébergées dans l'Union européenne bénéficient du cadre du RGPD. Des données hébergées aux États-Unis ou ailleurs peuvent être soumises à des législations étrangères, comme le CLOUD Act américain, qui permet à des autorités d'y accéder dans certains cas, même pour des données d'Européens.
Méfiez-vous des outils qui ont une entité juridique française mais font transiter ou stocker les données hors UE. Demandez explicitement : "Mes données sont-elles hébergées exclusivement en Union européenne ?" Une réponse vague est une réponse non.
Question 2 : les données sont-elles chiffrées ?
Le chiffrement protège vos données à deux moments :
- En transit : quand elles circulent entre votre ordinateur et le serveur (le standard est TLS).
- Au repos : quand elles sont stockées sur les serveurs (un standard solide est l'AES-256).
Un outil qui chiffre en transit et au repos rend les données inexploitables même en cas d'accès non autorisé au stockage. C'est un minimum à exiger.
Question 3 : qui peut accéder aux données ?
Au-delà de l'hébergement, regardez les accès :
- Votre compte est-il protégé par une double authentification (un deuxième facteur en plus du mot de passe) ?
- Dans une équipe, chacun voit-il seulement son périmètre, ou tout le monde voit-il tout ?
- Existe-t-il un journal des accès qui trace qui a consulté ou modifié quoi ?
La meilleure protection externe ne sert à rien si, en interne, n'importe qui accède à tout sans trace.
Question 4 : pouvez-vous récupérer et supprimer vos données ?
Le RGPD vous impose de pouvoir, à la demande d'un client, exporter ou supprimer ses données. Votre outil doit donc le permettre facilement : un export complet, une suppression ou anonymisation effective. Si récupérer vos propres données relève du parcours du combattant, vous êtes piégé, et non conforme.
Comment ça se passe dans Naskel
Naskel est conçu autour de ces exigences : hébergement exclusivement en Union européenne, données chiffrées en transit (TLS 1.3) et au repos (AES-256), et IA opérée sur une infrastructure européenne, sans transfert hors UE. Côté accès : double authentification, périmètres par rôle dans une équipe, et journal d'activité qui trace les actions.
Côté RGPD, l'export complet de vos données, la suppression ou l'anonymisation et une corbeille (pour récupérer un élément effacé par erreur) sont intégrés. Vous restez maître de vos données, et donc en mesure d'honorer vos propres obligations vis-à-vis de vos clients.
En résumé
- Vous êtes responsable des données de vos clients, y compris à travers les outils que vous choisissez.
- Question clé : les données sont-elles hébergées exclusivement en UE ? Une réponse vague vaut non.
- Exigez le chiffrement en transit et au repos.
- Vérifiez les accès : double authentification, périmètres par rôle, journal d'activité.
- Assurez-vous de pouvoir exporter et supprimer les données (obligation RGPD).
Savoir où vivent les données de vos clients n'est pas de la paranoïa. C'est la base de la confiance qu'ils vous accordent, et une obligation que vous portez à leur place.


