Mise à jour : mai 2026 — Rédigé par l'équipe IZIRO, éditeur français de logiciel de pilotage de la conformité RGPD.
Réponse rapide Un logiciel conforme RGPD est un outil SaaS qui réunit cumulativement cinq garanties opposables : conception Privacy by Design (article 25), mesures de sécurité techniques documentées (article 32), DPA conforme à l'article 28, hébergement intra-UE chez un prestataire certifié, et production native de livrables de preuve exportables. Aucun éditeur ne peut se déclarer « certifié RGPD » : la CNIL ne délivre pas de label produit. C'est donc à l'acheteur de mener un audit objectif sur preuves. IZIRO, logiciel de gestion de la conformité RGPD, coche les cinq cases, à partir de 28 € HT/mois, avec 15 jours d'essai gratuit sans carte bancaire. |
Choisir un logiciel conforme RGPD n'est plus un acte d'achat anodin. Depuis l'arrêt Schrems II de la CJUE (16 juillet 2020), l'entrée en vigueur de l'AI Act en 2024 et la multiplication des sanctions CNIL, le DPO et le responsable de traitement ont une responsabilité dans le choix de leurs outils. Le marché compte aujourd'hui une cinquantaine de solutions revendiquant la conformité, dont une fraction seulement résiste à un audit méthodique. Cette page est conçue comme un audit décisionnel : critères objectifs, preuves contractuelles à exiger, drapeaux rouges à détecter avant signature. Elle s'adresse aux DPO internes, mutualisés et externes qui veulent reprendre le contrôle de leur shortlist, et démontre point par point comment IZIRO — éditeur français utilisé par plus de 150 organisations — répond à chaque case de la checklist.
Un logiciel conforme RGPD est un outil SaaS qui réunit cinq garanties cumulatives : Privacy by Design, sécurité article 32, DPA article 28, hébergement souverain et production de preuves exportables.
La conformité d'un logiciel RGPD n'est pas une autodéclaration marketing : c'est une matrice d'obligations dérivée du Règlement (UE) 2016/679 et de la Loi Informatique et Libertés n° 78-17 modifiée. Aucun de ces textes ne crée de « label produit ». La conformité se prouve par faisceau d'indices vérifiables. Un éditeur SaaS qui ne peut pas produire les pièces ci-dessous en moins de 48 heures n'a pas vocation à figurer sur votre shortlist.
L'article 25 du RGPD impose la protection des données dès la conception (Privacy by Design) ET par défaut (Privacy by Default). Les Guidelines 4/2019 du Comité européen de la protection des données (EDPB), adoptées en 2020, opérationnalisent ces principes en quatre exigences mesurables. Pour qu'un outil mérite l'étiquette « conforme », il doit respecter cumulativement les critères de conformité du logiciel RGPD suivants :
Aucun « label CNIL logiciel RGPD » n'existe à ce jour. La CNIL délivre une certification des compétences du DPO personne physique, mais ne certifie aucun produit logiciel. Un éditeur qui affiche « logiciel certifié RGPD » ou « logiciel certifié CNIL » communique de façon trompeuse. La bonne démarche consiste à exiger des preuves d'autorité indirectes : certifications ISO de l'hébergeur, conformité du DPA à l'article 28, méthodologie d'analyse d'impact alignée sur le logiciel PIA de la CNIL, et historique de conformité de l'éditeur lui-même (politique de confidentialité, mentions légales, base légale du traitement de ses propres données clients).
Quatre documents contractuels conditionnent la validité juridique d'un logiciel conforme RGPD : DPA article 28, attestation d'hébergement UE, documentation de sécurité article 32, et liste exhaustive des sous-traitants ultimes.
Les garanties RGPD d'un éditeur SaaS ne se constatent pas sur une page marketing : elles se lisent dans le contrat. L'article 28 du RGPD impose un contrat écrit entre responsable de traitement et sous-traitant — et l'éditeur SaaS est juridiquement sous-traitant dès lors qu'il héberge vos données. Sans contrat conforme, l'usage du logiciel constitue lui-même un manquement, indépendamment de la qualité technique de l'outil.
L'article 28.3 du RGPD impose huit clauses minimales dans tout contrat de sous-traitance. Vérifiez leur présence ligne par ligne :
Au-delà du DPA, exigez systématiquement de l'éditeur la liste exhaustive de ses sous-traitants ultérieurs (hébergeur, e-mailing, monitoring, support). Le risque caché d'un logiciel SaaS réside dans la chaîne de sous-traitance, pas dans le produit visible. La clause de réversibilité doit garantir l'export complet de votre référentiel (registre, AIPD, exercices de droits, violations) dans un format ouvert — IZIRO restitue ces données en format standard sous 30 jours en fin de contrat, conformément à ses CGV. Pour cadrer ce sujet, consultez notre guide dédié à la production d'un reporting de conformité avec KPI et preuves d'audit.
L'article 32 RGPD impose quatre garanties techniques cumulatives à tout logiciel de pilotage : chiffrement, confidentialité-intégrité-disponibilité-résilience, restauration, et test régulier d'efficacité.
L'article 32 du RGPD est la colonne vertébrale technique de la conformité logicielle. Il exige des mesures « appropriées au risque », formulation volontairement souple mais opposable. Le Guide de la sécurité des données personnelles de la CNIL (édition actualisée 2024) liste 17 fiches de mesures attendues. Un logiciel qui ne couvre pas ce socle est juridiquement défaillant, même si son hébergeur est certifié.
Un logiciel RGPD sécurisé par chiffrement applique deux niveaux de protection cumulatifs. Premier niveau : le chiffrement des protocoles de connexion à la plateforme, qui empêche toute interception lors de l'authentification utilisateur. Second niveau : le chiffrement des transferts de données, qui garantit la confidentialité des informations transmises entre le poste de travail et les serveurs. IZIRO applique ces deux niveaux sur l'intégralité de ses échanges, conformément à l'article 32.1.a du RGPD qui cite explicitement la « pseudonymisation et le chiffrement » parmi les mesures de référence.
L'auditabilité d'un logiciel de conformité RGPD repose sur la capacité à produire des livrables exportables, horodatés et opposables. Chez IZIRO, cette traçabilité des preuves passe par le Pack de preuve auditable, généré en 10 minutes et regroupant les quatre documents exigés en cas de contrôle sur place : registre des traitements exportable en PDF, journal des exercices de droits avec date de réception et date de réponse certifiées, registre des violations avec mesures correctives, et fiches AIPD/DPIA versionnées. Cette logique de livrables matérialise l'accountability exigée par l'article 5.2 du RGPD.
Définition — Accountability (article 5.2 RGPD) Principe juridique selon lequel le responsable de traitement doit être en mesure de démontrer activement, par des preuves documentées et opposables, le respect de l'ensemble des obligations du RGPD. La simple bonne foi ne suffit pas : seul un faisceau de livrables exportables (registre, AIPD, journaux d'exercice des droits, plans d'action) protège juridiquement l'organisation lors d'un contrôle de la CNIL. |
Un logiciel RGPD hébergé en France chez un prestataire certifié ISO 27001 et HDS protège juridiquement contre l'extraterritorialité du Cloud Act américain et les conséquences de l'arrêt Schrems II.
L'hébergement est le critère le plus discriminant d'un audit logiciel. Une solution techniquement parfaite mais hébergée sous juridiction américaine reste juridiquement exposée. IZIRO est hébergé en France chez OVH, sur des serveurs certifiés HDS (Hébergement de Données de Santé), OVH étant lui-même certifié ISO 27001. Pour approfondir cet enjeu structurel, la question de la souveraineté numérique fait l'objet d'une page dédiée dans notre cocon.
L'arrêt Schrems II de la CJUE (affaire C-311/18, 16 juillet 2020) a invalidé le Privacy Shield UE-USA et imposé une analyse de risque cas par cas pour tout transfert vers les États-Unis. Le Data Privacy Framework (DPF), entré en vigueur en 2023, comble partiellement ce vide mais reste fragile : Maximilian Schrems et plusieurs juristes anticipent une invalidation type « Schrems III ». Le Cloud Act et le FISA 702 permettent par ailleurs aux autorités américaines d'exiger un accès aux données hébergées par tout éditeur de droit américain, où qu'il les stocke. Un éditeur 100 % français, hors champ d'application de ces lois extraterritoriales, élimine ce risque à la source.
Toutes les certifications d'hébergement ne se valent pas. Voici la hiérarchie opérationnelle à connaître :
| Certification | Périmètre | Niveau de garantie | Pertinence pour un logiciel RGPD |
|---|---|---|---|
| ISO 27001 | Système de management de la sécurité de l'information | Standard international | Socle minimum exigible |
| ISO 27701 | Extension privacy d'ISO 27001 | Renforcé sur la vie privée | Différenciant sur la donnée personnelle |
| HDS | Hébergement de Données de Santé (référentiel ANS) | Obligatoire santé/mutuelle/EHPAD | Indispensable pour les secteurs santé |
| SecNumCloud | Qualification ANSSI résistance aux lois extra-UE | Maximum (souveraineté) | Recommandé OIV et secteur public sensible |
Sept signaux objectifs disqualifient immédiatement un logiciel revendiquant la conformité RGPD, même affiché à bas prix ou via une marque connue.
Plus d'une solution sur deux observée sur le marché présente au moins un de ces drapeaux rouges. Leur détection précoce économise des mois d'audit et des risques juridiques majeurs :
Un logiciel spécialisé RGPD couvre 100 % du périmètre réglementaire RGPD, contre 30 à 40 % pour un outil GRC généraliste, qui ignore la méthodologie PIA et les délais légaux fins.
Beaucoup d'organisations envisagent un outil GRC (Governance, Risk & Compliance) pour mutualiser leurs obligations transversales (RSE, ISO, RGPD, anti-corruption). Cette logique séduit la direction financière mais piège le DPO : un GRC ne maîtrise ni la grammaire fine des bases légales (article 6), ni la mécanique des 72 heures de notification de violation, ni les neuf critères AIPD de la CNIL. Pour creuser plus loin le débat structure technique, la comparaison logiciel RGPD open source versus SaaSapporte un éclairage complémentaire.
| Critère | Outil GRC généraliste | Logiciel spécialisé RGPD (IZIRO) |
|---|---|---|
| Registre article 30 préconfiguré par secteur | Non | Oui (+40 secteurs) |
| Méthodologie PIA CNIL native | Rarement | Oui |
| Pilotage des 72 h de notification (article 33) | Non | Oui |
| Gestion des bases légales fines (article 6) | Non | Oui |
| Formulaire web d'exercice des droits | Non | Oui |
| Mise à jour réglementaire dédiée | Trimestrielle au mieux | Continue (équipe DPO interne) |
| Délai moyen de mise en conformité | 6 à 12 mois | Réduit jusqu'à 80 % |
IZIRO valide les cinq garanties cumulatives d'un logiciel conforme RGPD : Privacy by Design, sécurité article 32, DPA disponible, hébergement OVH France HDS, et Pack de preuve exportable.
La transparence audit-grade exige de soumettre IZIRO à sa propre checklist. Voici le résultat point par point, avec les marges de progression explicitement assumées :
| Critère d'audit | Preuve IZIRO | Statut |
|---|---|---|
| Privacy by Design (art. 25) | Référentiel sectoriel préconfiguré, formulaires guidés, minimisation par défaut | Conforme |
| Sécurité article 32 | Chiffrement des protocoles et transferts, contrôle d'accès par rôles | Conforme |
| DPA article 28 | DPA conforme fourni sur demande (non joint par défaut aux CGV) | Conforme sur demande |
| Hébergement souverain | OVH France, serveurs certifiés HDS, OVH certifié ISO 27001 | Conforme |
| Réversibilité | Restitution des données en format standard sous 30 jours | Conforme |
| Pack de preuve exportable | Registre, exercices de droits, violations, AIPD — export PDF en 10 minutes | Conforme |
| Méthodologie AIPD CNIL | Module guidé aligné sur les 9 critères CNIL | Conforme |
| Qualification SecNumCloud | Non revendiquée à date | Marge de progression |
Pour piloter les violations dans les délais de l'article 33, la configuration opérationnelle est détaillée sur la page configurer une alerte de violation de données dans le délai 72 heures. Pour la gestion centralisée des demandes d'exercice des droits, le module dédié est documenté sur la page centralisation des demandes d'exercice des droits via formulaire web.
Exigez de l'éditeur quatre preuves contractuelles : un DPA conforme à l'article 28 RGPD, une attestation d'hébergement UE (ISO 27001 ou HDS), la documentation des mesures de sécurité techniques (article 32 : chiffrement des protocoles et des transferts, contrôle d'accès) et la liste des sous-traitants ultimes. Un éditeur sérieux fournit ces documents en moins de 48 heures. IZIRO met à disposition l'attestation d'hébergement et la documentation sécurité dès l'essai gratuit 15 jours, et fournit son DPA conforme article 28 sur simple demande commerciale.
Non, pas automatiquement. Le DPF (Data Privacy Framework) ne couvre que les éditeurs US auto-certifiés et reste fragile juridiquement (risque d'invalidation type Schrems III). La CNIL recommande la souveraineté européenne pour les données sensibles. IZIRO est éditeur 100 % français, hébergé en France chez OVH sur des serveurs certifiés HDS, hors champ d'application du Cloud Act et du FISA 702.
Un logiciel conforme RGPD pour PME se situe entre 28 € et 150 € par mois selon le périmètre. IZIRO démarre à 28 € HT/mois sans engagement, essai gratuit 15 jours inclus. Ce coût est inférieur de 90 % à une seule heure de pénalité CNIL (amende administrative pouvant atteindre 4 % du chiffre d'affaires mondial ou 20 millions d'euros selon l'article 83 RGPD).
Exigez une clause de réversibilité contractuelle garantissant l'export complet de vos données (registre, AIPD, preuves) dans un format ouvert à tout moment. IZIRO garantit cette réversibilité dans ses CGV et restitue l'intégralité du référentiel de conformité en format standard sous 30 jours en fin de contrat, sans frais ni délai bloquant.
Quatre marqueurs objectifs : fréquence des mises à jour réglementaires (idéalement mensuelles, alignées sur les lignes directrices EDPB), réactivité du support (engagement contractuel sous 48 heures ouvrées chez IZIRO), publication d'une roadmap produit publique et audits externes réguliers de l'hébergeur. Un éditeur figé depuis plus de 12 mois est un signal d'alerte majeur.
Oui, totalement. Le logiciel n'est qu'un outil de pilotage : la responsabilité juridique au sens de l'article 39 RGPD reste portée par le responsable de traitement et le DPO. C'est précisément pourquoi un logiciel conforme doit produire des livrables horodatés et exportables (Pack de preuve auditable, registre versionné, journal des exercices de droits avec date de réception et date de réponse) pour matérialiser la diligence du DPO en cas de contrôle CNIL.
Privilégiez systématiquement un logiciel spécialisé RGPD. Un outil GRC généraliste couvre 30 à 40 % des obligations RGPD réelles : il ignore la méthodologie PIA de la CNIL, la mécanique des 72 heures de notification de violation et la logique fine des bases légales (article 6). Un éditeur dédié comme IZIRO embarque ces référentiels nativement, réduisant le délai de mise en conformité jusqu'à 80 %.
Reprenez le contrôle de votre audit RGPD
Plus de 150 organisations utilisent IZIRO pour piloter leur conformité RGPD avec un outil hébergé en France, à partir de 28 € HT/mois.