Suis-je responsable des données de mes clients si elles sont hébergées chez un éditeur tiers ?

Oui. Selon la mission, vous êtes responsable de traitement ou sous-traitant, mais dans les deux cas l'éditeur que vous choisissez devient votre sous-traitant ultérieur. Vous restez responsable de la chaîne et tenu au secret professionnel, qui découle de la déontologie de l'ITAA en Belgique.

Quelle est la différence entre accéder à ses données et les posséder ?

Accéder, c'est consulter et manipuler la donnée dans un environnement contrôlé par un tiers. Posséder, c'est décider de l'hébergement, des accès, de la sécurité et du devenir de la donnée. Une plateforme standard comme Clearfacts vous donne l'accès, pas la possession.

Quelles questions poser à un éditeur de portail sur le RGPD ?

Où sont hébergées les données, qui y accède et quels sont les sous-traitants ultérieurs, que se passe-t-il à la sortie, y a-t-il des transferts hors Union européenne, et quelles garanties contractuelles et de sécurité sont prévues, dont un contrat conforme à l'article 28.

Qu'est-ce que la réversibilité d'un portail client ?

C'est votre capacité à récupérer vos données et celles de vos clients si vous quittez la plateforme, dans un format exploitable, avec un délai clair de suppression côté éditeur. Une faible réversibilité crée une dépendance coûteuse.

Un portail sur mesure garantit-il une meilleure maîtrise des données ?

Il vous permet de choisir l'hébergement, en Belgique ou dans l'Union européenne, de réduire la chaîne de sous-traitance et de contrôler la réversibilité, ce qu'une plateforme mutualisée ne permet pas. La sécurité reste une exigence à part entière, mais responsabilité et contrôle sont enfin alignés.

Données clients : comment garder la maîtrise face aux plateformes de pré-comptabilité

Réponse courte

Sur une plateforme de pré-comptabilité standard comme Clearfacts (hébergée par Wolters Kluwer), vous accédez à vos données sans les posséder : l'hébergement, les sous-traitants et la réversibilité dépendent de l'éditeur. Le cabinet reste pourtant responsable au titre du RGPD et du secret professionnel (déontologie de l'ITAA en Belgique). Un portail client sur mesure à hébergement maîtrisé, en Belgique ou dans l'Union européenne, réaligne responsabilité et contrôle.

Voici une question que peu de dirigeants se posent assez tôt. Les pièces de vos clients, leurs flux, leurs données personnelles, où vivent-elles vraiment ? Si vous utilisez une plateforme de pré-comptabilité standard, la réponse est simple et inconfortable. Elles vivent sur les serveurs d'un éditeur tiers.

Vous restez pourtant responsable. C'est votre cabinet que le client a mandaté. C'est vous qui portez le secret professionnel et une partie des obligations RGPD. Mais la donnée, elle, n'est plus chez vous. Vous y avez accès. Vous ne la possédez plus.

Cet article traite de la maîtrise des données clients d'un cabinet d'expertise comptable face aux plateformes mutualisées. Vous verrez la différence entre accéder et posséder, les questions à poser à tout éditeur, vos obligations réelles, et ce que change un hébergement maîtrisé. Ceci est une mise en perspective, pas un avis juridique. Vous connaissez ces obligations mieux que personne, et votre DPO ou votre conseil reste votre référence.

Accéder à ses données, est-ce vraiment les posséder ?

C'est la confusion centrale. Sur une plateforme standard, vous voyez vos données, vous les manipulez, vous les exportez. Vous avez le sentiment qu'elles sont à vous. Elles ne le sont pas au sens qui compte.

Posséder une donnée, c'est décider où elle est stockée, qui peut y accéder, sous quelles conditions, et ce qu'il advient d'elle. Y accéder, c'est seulement pouvoir la consulter dans un environnement que quelqu'un d'autre contrôle.

Quand vos pièces et votre relation client transitent par un éditeur, vous déléguez tout ce qui relève de la possession. L'hébergement, c'est lui. Les sous-traitants techniques, c'est lui. Les conditions d'usage, c'est lui. Les évolutions, c'est lui. Vous gardez la responsabilité, vous perdez le contrôle. C'est exactement l'écart que la question de la souveraineté vient nommer.

Prenons un cas concret et connu. Clearfacts, solution de pré-comptabilité de qualité, est aujourd'hui détenue par Wolters Kluwer, un groupe coté de plusieurs milliards d'euros. En choisissant cet outil, vous faites de ce groupe l'un de vos sous-traitants. Son hébergement et sa feuille de route deviennent vos contraintes. Ce n'est ni un défaut du produit, ni un reproche. C'est la nature même d'un SaaS mutualisé.

Quelles sont les 5 questions à poser à tout éditeur de portail ?

Avant de confier la donnée de vos clients à une plateforme, posez ces cinq questions. Elles ne sont pas techniques pour le plaisir. Elles déterminent votre exposition réelle. À noter, à ce jour, aucun logiciel comptable n'est certifié par une autorité de protection des données. L'évaluation vous revient.

Où sont hébergées les données ? En Belgique, dans l'Union européenne, ou ailleurs ? La localisation conditionne le régime applicable et votre tranquillité en cas de contrôle.

Qui y accède, et quels sont les sous-traitants ultérieurs ? Un éditeur s'appuie souvent sur d'autres prestataires, hébergeurs, services techniques. Chacun est un maillon de plus dans la chaîne. Vous devez pouvoir la cartographier.

Que se passe-t-il à la sortie ? Si vous quittez la plateforme, récupérez-vous vos données ? Dans quel format ? Sous quel délai sont-elles supprimées de leurs serveurs ? C'est la question de la réversibilité, trop souvent négligée à la signature.

Des données sont-elles transférées hors de l'Union européenne ? Si oui, avec quelles garanties ? Un transfert hors UE ajoute une couche de risque et d'obligations.

Quelles garanties contractuelles et de sécurité ? Existe-t-il un contrat de sous-traitance conforme à l'article 28 du RGPD ? Quelles certifications de sécurité, quel chiffrement, quelle traçabilité des accès ?

Si les réponses sont floues ou renvoyées à des conditions générales que vous ne maîtrisez pas, vous avez votre signal. La donnée de vos clients mérite mieux qu'un haussement d'épaules.

RGPD, secret professionnel et sous-traitance : quelles sont vos obligations réelles ?

Rappelons le cadre, sans le simplifier à l'excès. Votre cabinet porte une double casquette au regard du RGPD. Pour vos propres données, salariés, prospects, gestion interne, vous êtes responsable de traitement. Pour les données traitées au nom de vos clients, tenue comptable, paie, vous êtes le plus souvent sous-traitant. La qualification s'analyse mission par mission, et certaines missions vous placent en responsable.

Dans tous les cas, la relation doit être encadrée par un contrat conforme à l'article 28 du RGPD. Et à cette obligation s'ajoute le secret professionnel. En Belgique, il découle de la déontologie de la profession, encadrée par l'ITAA. En France, il repose sur l'article 21 de l'ordonnance de 1945, sanctionné pénalement par l'article 226-13 du Code pénal. Ce secret est plus large qu'une simple clause de confidentialité. Il se superpose au RGPD sans s'y substituer.

Voici le point qui change tout quand vous choisissez une plateforme. L'éditeur du portail devient votre sous-traitant ultérieur. Vous restez responsable de la chaîne. Si l'éditeur, ou l'un de ses propres sous-traitants, subit une faille, c'est aussi votre responsabilité qui est engagée, et le secret de vos clients qui est exposé. Choisir où vit la donnée n'est donc pas un détail technique. C'est une partie intégrante de vos obligations professionnelles.

Réversibilité : que se passe-t-il si vous quittez la plateforme ?

La réversibilité est le test de vérité de la souveraineté. Tant que tout va bien, la question reste théorique. Le jour où vous voulez changer d'outil, elle devient brûlante.

Sur une plateforme standard, plusieurs verrous se referment. Vos données sont structurées selon le modèle de l'éditeur, pas le vôtre. L'export, quand il existe, peut être partiel ou dans un format difficile à réexploiter. Vos clients sont habitués à une interface que vous ne pourrez pas reproduire ailleurs. Et le délai de suppression de vos données sur les serveurs de l'éditeur dépend de son contrat, pas de votre volonté.

Le résultat est une dépendance. Plus vous restez, plus le coût de sortie monte, parce que l'historique, les habitudes et les flux se sont accumulés dans un environnement que vous ne contrôlez pas. Cette dépendance n'est pas qu'un inconfort. C'est un risque stratégique. Un éditeur qui change de tarif, de propriétaire ou de conditions vous met devant un choix coûteux, au moment qu'il choisit, pas vous.

Posez la question de la réversibilité avant de signer, pas au moment de partir. C'est le seul instant où vous avez encore un levier.

Facture électronique : pourquoi le volume de données va exploser

La réforme de la facture électronique va massivement augmenter le volume de données qui transitent par votre cabinet, et donc l'enjeu de leur maîtrise.

En Belgique, le Peppol B2B est déjà obligatoire depuis janvier 2026 : l'intégralité des flux d'achats et de ventes de vos clients passe au format structuré et électronique. En France, la réception de factures électroniques devient obligatoire pour toutes les entreprises au 1er septembre 2026, puis l'émission s'étend en 2026 et 2027 selon la taille. Dans les deux pays, la même bascule s'opère, et c'est la facture électronique va faire exploser le volume de données qui circulent par votre cabinet.

Cela veut dire beaucoup plus de données, beaucoup plus structurées, qui circulent en continu. Chaque facture devient un fichier de données exploitable. Si tous ces flux transitent par une plateforme tierce, vous multipliez d'autant la donnée sensible hébergée hors de votre contrôle. La surface d'exposition grandit en même temps que le volume.

L'arrivée de la facture électronique est donc le bon moment pour poser la question de la souveraineté. Pas parce que la réglementation l'impose, mais parce que le volume et la sensibilité des données que vous orchestrez vont changer d'échelle. Faire ce choix après coup, une fois tous les flux verrouillés chez un éditeur, sera bien plus difficile.

Portail sur mesure et hébergement maîtrisé : qu'est-ce que ça change ?

Un portail client sur mesure répond précisément à cet enjeu, parce qu'il déplace le curseur de l'accès vers la possession.

Vous décidez de l'hébergement. Vous pouvez choisir un hébergement en Belgique ou dans l'Union européenne, et savoir exactement où vit la donnée de vos clients. Vous réduisez la chaîne de sous-traitants ultérieurs, puisque le portail est le vôtre et non une plateforme partagée par des milliers de cabinets. Vous maîtrisez la réversibilité, parce que la donnée et son format vous appartiennent. Et vous documentez votre conformité plus simplement, car vous contrôlez les éléments que le RGPD vous demande de maîtriser.

Ce n'est pas une garantie magique. Un portail sur mesure exige aussi des mesures de sécurité sérieuses, et votre vigilance reste entière. Mais la différence de nature est réelle. Avec une plateforme standard, vous déléguez la possession et gardez la responsabilité. Avec un portail à votre architecture, vous reprenez la possession en face de votre responsabilité. Les deux sont enfin alignés.

Ce niveau de maîtrise a un coût clair et fixe. Comptez 9 900 euros HT à la création, une livraison en quatre semaines, puis 290 euros HT par mois. En contrepartie, la donnée de vos clients cesse d'être hébergée chez un tiers que vous ne choisissez pas.

Conclusion

Vous êtes responsable de la donnée de vos clients et tenu au secret professionnel. C'est une charge sérieuse. La confier à une plateforme mutualisée ne la diminue pas, elle la déplace hors de votre contrôle tout en vous laissant la responsabilité.

Accéder à ses données n'est pas les posséder. Posséder, c'est décider de l'hébergement, de la chaîne de sous-traitance et de la réversibilité. À l'heure où la facture électronique va faire exploser le volume de données sensibles que vous orchestrez, cette question cesse d'être théorique.

Un portail sur mesure à hébergement maîtrisé réaligne votre responsabilité et votre contrôle. C'est, au fond, ce que le secret professionnel a toujours exigé.

Réservez un audit gratuit de 30 minutes

Nous cartographions où vivent réellement les données de vos clients aujourd'hui, et nous identifions vos points d'exposition. Vous repartez avec un état des lieux clair de votre souveraineté, sans engagement. Réserver mon audit gratuit.