Évaluer la propriété des données avant d'acheter un logiciel

sSystm Team6 min de lecture
TL;DR

La propriété des données, c'est cinq questions avant d'acheter : où vivent les données actives, qui détient les clés, quelle juridiction s'applique, que se passe-t-il à la sortie, le fournisseur peut-il accéder en silence ? La plupart répondent par des politiques, pas l'architecture. Utilisez-les comme critères pass/fail — pour savoir si vos données clients sont à vous ou en prêt.

Avant de signer un contrat pour un logiciel d’agence, demandez où vivent vos données, qui peut y accéder et ce que vous obtenez si le fournisseur disparaît. La plupart des évaluations couvrent fonctionnalités, prix et intégrations. Peu couvrent la propriété — parce que les fournisseurs savent dire « vos données sont les vôtres » tout en gardant architecturalement vos données dans une base centrale qu’eux seuls contrôlent.

Cet article vous donne une checklist en cinq questions qui transforme le marketing en critères pass/fail, pour savoir ce que vous achetez réellement.

Pourquoi la propriété compte plus pour les agences

Un détaillant qui perd l’accès à ses données d’inventaire, c’est douloureux. Une agence qui perd l’accès aux données clients, c’est existentiel — car les données ne sont pas seulement opérationnelles, elles sont l’historique relationnel que vos clients vous confient de maintenir.

Les agences détiennent :

  • Coordonnées clients et historique de communication
  • Contrats, briefs et livrables approuvés
  • Dossiers financiers — factures, tarifs, historique de paiement
  • Calendriers de projet, décisions et validations
  • Parfois identifiants, assets de marque et travail non publié

Si une partie de cela est enfermée dans l’infrastructure d’un fournisseur sans chemin d’accès indépendant, vous ne la possédez pas au sens pratique. Vous la louez.

La checklist en cinq questions

1. Où vit la base active ?

C’est la question la plus importante, et celle que les fournisseurs sont les moins enclins à répondre précisément.

Réponse entendue Ce que cela signifie réellement OK ?
« Nous hébergeons sur AWS en eu-west-1 » Leur base, leur compte, leurs serveurs ⚠️ Résidence seulement
« Vos données sont stockées en sécurité dans notre cloud » Base multi-tenant centrale, infrastructure partagée
« Nous utilisons un hébergement certifié SOC 2 » Conformité de l’hôte, pas de votre accès ⚠️
« Une base dédiée est provisionnée sur votre compte cloud » Votre base, votre compte, votre région

À demander : « La base de production est-elle sur votre compte cloud ou le mien ? »

Si la réponse est le leur, vous avez au mieux de la résidence — pas de la propriété. Vos données sont un locataire dans leur immeuble. Ils détiennent les clés de la porte d’entrée.

sSystm provisionne une base D1 dédiée sur votre compte Cloudflare à l’inscription. La réponse à la question un est vérifiable : vous voyez la base dans votre propre tableau de bord Cloudflare.

2. Qui détient les clés de chiffrement ?

Le chiffrement ne signifie rien si seul le fournisseur peut déchiffrer.

À demander : « Puis-je accéder à la base directement avec mes propres identifiants, indépendamment de votre plateforme ? »

  • Si oui : vous pouvez vérifier, sauvegarder et interroger vos données sans demander la permission
  • Si non : le fournisseur peut tout lire, et tout compromis de leur côté aussi

C’est la différence entre « chiffré au repos » comme case à cocher et un chiffrement qui vous protège réellement.

3. Quelle juridiction régit les données ?

Pour les agences de l’UE et celles avec des clients UE, ce n’est pas optionnel.

À demander : « Puis-je choisir la région où la base est créée, et ce choix est-il appliqué au niveau infrastructure ? »

Réponse Risque
« Nous sommes conformes RGPD » Une affirmation de politique — demandez ce qui l’applique
« Nous traitons les données dans l’UE » Traitement ≠ stockage ; sous-traitants peuvent être ailleurs
« Vous sélectionnez votre région à l’inscription ; la base y est créée » Garantie architecturale

« Nous sommes conformes RGPD » n’est pas une réponse à « où sont les données ». Conformité RGPD et résidence des données sont liées mais pas identiques. Résidence appliquée par l’architecture — la base est créée dans la région choisie — est plus forte que résidence promise dans un DPA.

4. Que se passe-t-il à la sortie ?

C’est la question que personne ne pose jusqu’à en avoir besoin.

À demander : « Si nous résilions le contrat demain, à quoi avons-nous accès, pendant combien de temps, et sous quel format ? »

Réponse À attendre
« Vous pouvez exporter vos données à tout moment » Fichiers CSV/JSON ; les relations peuvent ne pas survivre
« Nous offrons 30 jours pour exporter après résiliation » Un compte à rebours ; espérer que l’export soit complet
« Votre base reste sur votre compte cloud » Pas d’export nécessaire ; changez de logiciel, gardez les données

La troisième réponse ne s’applique qu’aux architectures BYOC ou self-hosted. Toute autre réponse signifie que vous planifiez une migration sous pression.

Si le fournisseur ferme complètement, la question de sortie devient urgente — et la qualité de la fenêtre d’export détermine si vous reconstruisez ou continuez.

5. Le fournisseur peut-il accéder à vos données sans votre connaissance ?

À demander : « Dans quelles circonstances votre équipe accède-t-elle aux données clients, et cet accès est-il journalisé et auditable ? »

Des réponses raisonnables incluent : demandes de support que vous initiez, incidents de sécurité avec notification, obligations légales avec préavis. Des réponses déraisonnables incluent : « nous pouvons accéder aux données pour améliorer notre produit » sans préciser l’anonymisation, ou aucune piste d’audit.

Pour les agences gérant des données clients, cette question s’étend à vos propres clients : si un client demande « qui peut voir nos fichiers », vous avez besoin d’une réponse meilleure que « les employés de notre fournisseur SaaS, selon leur politique ».

Signaux d’alarme dans la conversation commerciale

Partez ou escaladez vers la revue juridique si vous entendez :

  • « Vous possédez vos données » sans préciser où elles vivent ou comment y accéder
  • « Nous pouvons vous migrer plus tard » — la migration est toujours plus difficile que promis
  • « L’export est disponible via notre API » — les API changent, se déprécient et ferment
  • « Faites-nous confiance, nous sommes certifiés SOC 2 » — la certification concerne le processus, pas vos droits d’accès
  • « Tous nos clients sont sur la même infrastructure » — multi-tenant par définition

Signaux positifs

  • Base provisionnée sur votre compte cloud
  • Sélection de région à l’inscription, appliquée au niveau infrastructure
  • Accès direct à la base avec vos identifiants
  • DPA vous nommant responsable du traitement et listant les sous-traitants
  • Sortie sans course à l’export

Comment utiliser cette checklist en pratique

Avant votre prochaine démo, envoyez les cinq questions par écrit. Les fournisseurs qui peuvent répondre concrètement le feront. Ceux qui répondent par des PDF marketing vous disent que l’architecture ne supporte pas la propriété.

Notez chaque candidat :

Question Fournisseur A Fournisseur B sSystm (BYOC)
Où est la base ? Leur AWS Leur AWS Votre compte Cloudflare
Qui détient les clés ? Fournisseur Fournisseur Vous
Juridiction ? « Traitement UE » Région UE sélectionnable Région choisie à l’inscription
Sortie ? Export CSV 30 jours Export API Base reste sur votre compte
Accès fournisseur ? « Si nécessaire » Journalisé, sur demande Votre infrastructure

Vous ne cherchez pas la perfection. Vous cherchez si l’architecture du fournisseur correspond à ses affirmations de propriété — ou si « vos données sont les vôtres » est une fiction juridique.

La propriété est une décision architecturale

Les fonctionnalités s’ajoutent. Les prix se négocient. Les intégrations se construisent. L’architecture des données ne se rétrofit pas. Le choix de savoir si les données clients de votre agence vivent sur votre compte cloud ou la base centrale d’un fournisseur se fait à l’inscription et change rarement sans migration complète.

sSystm est construit sur BYOC parce que les agences ne devraient pas avoir à décoder le marketing pour savoir si leurs données clients leur appartiennent réellement. La checklist ci-dessus devrait prendre cinq minutes — et les réponses devraient être vérifiables dans votre tableau de bord cloud, pas dans une note de bas de page.


Articles liés : Qu’est-ce qu’un agency OS BYOC ? · Résidence des données et RGPD pour les agences · Verrouillage fournisseur SaaS

Questions fréquentes

Qui possède les données dans une application SaaS ?

Légalement, vous conservez souvent la propriété du contenu que vous uploadez — mais le fournisseur contrôle où il est stocké, comment il est accessible et si vous pouvez l'exporter. « Vos données vous appartiennent » dans des conditions d'utilisation ne signifie pas que vous pouvez y accéder indépendamment. La vraie propriété signifie que vous détenez la base, les clés et la capacité d'accéder à vos enregistrements sans permission du fournisseur.

Quelles questions poser sur la propriété des données avant d'acheter un logiciel d'agence ?

Cinq essentielles : (1) Où réside physiquement la base active ? (2) Qui détient les clés de chiffrement ? (3) Quelle juridiction régit les données ? (4) Que deviennent vos données si vous partez ou si le fournisseur ferme ? (5) Le fournisseur peut-il accéder à vos données sans votre connaissance ? Si une réponse est vague, supposez que le fournisseur contrôle les données.

Quelle est la différence entre résidence des données et propriété des données ?

La résidence des données concerne la géographie — où se trouvent les serveurs. La propriété des données concerne le contrôle — qui détient la base, les sauvegardes et les clés. Un fournisseur peut héberger dans l'UE (résidence) tout en gardant vos données dans sa base multi-tenant centrale à laquelle vous n'accédez pas directement (pas de propriété). Résidence sans propriété est une promesse de politique ; propriété est un fait architectural.

À quoi ressemble un bon accord de traitement des données pour les agences ?

Il doit préciser le responsable du traitement (vous), le sous-traitant (le fournisseur), les sous-traitants impliqués, la juridiction, les délais de notification de violation, et votre droit d'auditer ou d'exporter. Pour les agences gérant des données clients, il doit aussi clarifier ce qui arrive aux enregistrements clients quand votre relation avec le fournisseur se termine — pas seulement les données de votre propre compte.

Comment le BYOC affecte-t-il l'évaluation de la propriété des données ?

BYOC (Bring Your Own Cloud) change la réponse à chaque question de la checklist. La base est provisionnée sur votre compte cloud, vous choisissez la région, vous détenez les identifiants d'accès, et quitter le fournisseur ne nécessite pas d'export — les données sont déjà sur votre infrastructure. L'évaluation devient une vérification de l'architecture, pas une analyse du langage marketing.

byocdata-ownershipgdpragency-os

sSystm est le premier OS d'agence BYOC — vos clients, votre code et votre cloud sur votre propre compte Cloudflare, avec votre IA qui travaille dans tout l'espace de travail via MCP.

Rejoindre la liste d'attente