Lorsqu'un recycleur choisit son ERP, la question de l'hébergement des données arrive rarement en tête de liste des critères. C'est une erreur. Vos données de pesée, vos registres déchets, vos contrats clients, vos données RH et vos BSD contiennent des informations réglementairement sensibles dont la compromission peut entraîner des sanctions CNIL, des ruptures contractuelles, voire des poursuites pénales. Ce guide fait le point sur les risques réels, les exigences du RGPD, et les garanties concrètes à exiger de votre éditeur.
Pourquoi l'hébergement hors UE est un risque concret
Le Règlement Général sur la Protection des Données (RGPD — règlement UE 2016/679) interdit par principe le transfert de données personnelles vers des pays tiers à l'Union européenne qui n'offrent pas un niveau de protection adéquat (article 44). Les États-Unis n'ont obtenu une décision d'adéquation (EU-US Data Privacy Framework) qu'en juillet 2023, et celle-ci est déjà contestée devant la CJUE par le même requérant (Max Schrems) qui avait fait tomber le Privacy Shield en 2020. Ce contentieux permanent rend le transfert vers les clouds américains juridiquement instable, même avec des clauses contractuelles types (CCT/SCC).
Pour un recycleur, les données concernées ne se limitent pas aux coordonnées de vos clients : les données de vos chauffeurs et agents de pesée (données RH), les données de géolocalisation des bennes et des véhicules, les numéros de carte d'identité collectés pour le livre de police des négociants en métaux, et les données de paiement des prestataires sont toutes des données personnelles au sens du RGPD.
Les risques spécifiques des logiciels hébergés hors UE
- Risque juridique CNIL : la CNIL peut prononcer une amende jusqu'à 4 % du chiffre d'affaires mondial ou 20 M€ (article 83 du RGPD) en cas de transfert illicite. Des contrôles sectoriels ont déjà visé des PME industrielles.
- Risque contractuel : vos clients donneurs d'ordre grands comptes incluent désormais des clauses RGPD dans leurs contrats de sous-traitance, avec obligation de cascade vers vos propres sous-traitants logiciels. Un hébergement non conforme peut entraîner une résiliation contractuelle.
- Risque de continuité : un hébergement à l'étranger sans garantie de localisation des données peut signifier qu'en cas de litige avec l'éditeur, vos données sont soumises à une juridiction étrangère et peuvent être inaccessibles le temps de la procédure.
- Risque CLOUD Act : le Clarifying Lawful Overseas Use of Data Act américain (CLOUD Act, 2018) autorise les autorités américaines à exiger l'accès aux données stockées par des entreprises US, même sur des serveurs situés en Europe. Cela s'applique à tout cloud dont la société-mère est américaine.
Ce que le RGPD impose concrètement à l'éditeur de votre ERP
Votre éditeur ERP est un sous-traitant au sens de l'article 28 du RGPD. À ce titre, il doit :
- Signer avec vous un DPA (Data Processing Agreement) précisant les finalités du traitement, la localisation des données, les mesures de sécurité techniques et organisationnelles, et les conditions de sous-traitance à des tiers (hébergeur, outils analytics, support externe).
- Ne traiter vos données que sur vos instructions documentées (article 28.3.a).
- Notifier toute violation de données dans les 72 heures (article 33), pour que vous puissiez à votre tour notifier la CNIL si la violation concerne des données de vos propres clients.
- Vous permettre d'exercer vos droits de contrôle et d'audit (article 28.3.h), y compris l'accès au registre des traitements de l'éditeur et aux rapports d'audit de sécurité (SOC 2, ISO 27001).
- Supprimer ou restituer toutes vos données à la fin du contrat (article 28.3.g), dans un format exploitable.
L'importance de l'hébergement en France certifié
Un hébergement en France présente plusieurs avantages concrets au-delà de la conformité RGPD :
- Juridiction claire : droit français applicable, recours en cas de litige devant des tribunaux accessibles.
- Latence réduite : pour des opérations en temps réel comme la pesée ou l'impression de BSD, une latence réseau minimale est critique. Un datacenter en France offre des performances supérieures à un hébergement mutualisé en Irlande ou en Allemagne.
- Certifications sectorielles : les datacenters français certifiés ISO 27001 et Tier III offrent des garanties contractuelles sur la disponibilité (SLA 99,95 %) et la résilience physique. Pour les données de santé au travail (médecine du travail, accidents du travail dans votre module QHSE & sécurité), la certification HDS (Hébergeur de Données de Santé) est obligatoire.
- Argument commercial : pouvoir affirmer à vos clients publics (collectivités, syndicats de traitement) que leurs données sont hébergées en France est un avantage dans les marchés publics sensibles.
Les garanties à demander à votre éditeur
Avant de signer, exigez les éléments suivants de manière contractuelle :
- Le nom et la localisation précise du ou des datacenter(s) hébergeant vos données (adresse physique, pas seulement le pays).
- La liste exhaustive des sous-traitants ultérieurs (hébergeur, CDN, outils de monitoring, support tiers) avec localisation de chacun.
- Le rapport de certification ISO 27001 ou SOC 2 Type II de l'hébergeur, datant de moins de 12 mois.
- La politique de sauvegarde (fréquence, rétention, tests de restauration) et les délais de RTO/RPO en cas de sinistre.
- La procédure de notification en cas de violation de données, avec engagement de délai inférieur à 24 heures pour vous informer (marge avant la limite RGPD de 72 heures).
- Les conditions de portabilité et de suppression des données en fin de contrat, dans un format ouvert (CSV, JSON ou XML).
Un éditeur sérieux disposera de ces documents et les fournira sans délai. Un refus ou une réponse évasive (« nos données sont en Europe ») sans précision est un signal d'alerte fort. Pour approfondir le sujet de la sécurité dans le choix d'un ERP, consultez notre guide complet de sélection d'un ERP recyclage.
