SaaS
En bref
Tu utilises l'application telle quelle, hébergée et maintenue par le prestataire, comme une messagerie professionnelle ou un CRM. Tu ne touches pas aux serveurs : tu te connectes depuis ton navigateur.
▶ Définition précise
Software as a Service, au sens du NIST (SP 800-145). Le prestataire gère l'ensemble de la chaîne : infrastructure, plateforme et application. Le client se contente de configurer et d'utiliser le service, sans accès au code ni au système. Exemples : Microsoft 365, Google Workspace, Salesforce, Notion, Slack.
Notre analyse
C’est dans le SaaS que se loge la quasi-totalité de l’exposition des entreprises françaises, parce que c’est l’usage quotidien : messagerie, collaboration, CRM, ERP. Ce que l’on utilise sans y penser est précisément ce que l’on n’interroge jamais.
Là est le piège. Le SaaS est invisible techniquement : aucun serveur à administrer, aucune machine à choisir, donc les questions de juridiction, de portabilité des données et de réversibilité ne se posent presque jamais en amont. Elles surgissent au pire moment, quand le prestataire ferme un service, change ses conditions ou se fait racheter, et qu’il est déjà trop tard pour sortir proprement.
Le RGPD impose que les données personnelles traitées dans un SaaS respectent ses conditions, ce qui inclut l’encadrement des transferts hors Union européenne : clauses contractuelles types, décision d’adéquation, garanties équivalentes. Un SaaS américain sans base légale de transfert adéquate constitue une exposition directe, juridique avant d’être technique. Le confort d’usage du SaaS masque le fait que c’est l’étage où l’on délègue le plus, donc celui où l’on contrôle le moins.