IAMSHIBAAccueil › Ressources › Logiciel souverain
Logiciel souverain pour cabinet comptable : les critères qui comptent
"Hébergé en France" ne suffit pas. Voici comment évaluer la souveraineté réelle d'un logiciel SaaS avant de confier les données de vos clients.
Définition utile
Un logiciel SaaS est souverain quand il combine trois éléments :
- Édité par une entité juridique européenne (pas une filiale d'un groupe non-UE)
- Hébergé en UE, idéalement en France
- Aucun de ses sous-traitants n'est soumis à une législation extraterritoriale incompatible avec le RGPD (Cloud Act US, FISA 702, etc.)
La nuance qui compte : un éditeur français hébergé chez OVH peut quand même utiliser OpenAI pour son IA, Salesforce pour son CRM client, Mixpanel pour son analytics. La chaîne n'est plus souveraine.
Pourquoi c'est un sujet pour un cabinet
1. Simplifier la conformité RGPD
Un éditeur souverain élimine les transferts hors UE. Le DPA est court, lisible, opposable. Le registre des traitements du cabinet n'a pas à documenter de mesures contractuelles supplémentaires (clauses types) ni à justifier les choix de sous-traitants à risque.
2. Continuité opérationnelle
Les outils américains peuvent être coupés unilatéralement (sanctions, embargos, décisions de l'éditeur). C'est rare, mais le risque existe et croît avec la fragmentation géopolitique.
3. Confidentialité effective
Les données comptables d'un cabinet — bilans, marges, salaires, opérations particulières — sont structurellement sensibles. Tout transit par un LLM ou un service tiers américain est potentiellement consultable par les autorités américaines au titre du Cloud Act ou du FISA 702.
Les 6 questions à poser à un éditeur
- Où sont hébergées les données ? Pays, fournisseur de cloud, région.
- Liste complète des sous-traitants dans le DPA ? Refuser un DPA qui dit "et tout autre sous-traitant que nous estimerons utile".
- Statut juridique de l'éditeur ? Société européenne, ou filiale d'un groupe non-UE ?
- Quel LLM utilisez-vous, le cas échéant ? OpenAI / Anthropic / Mistral / aucun ?
- La signature électronique est-elle native ou via DocuSign/Adobe ?
- Quelles certifications ? ISO 27001, HDS, SecNumCloud le cas échéant.
Le mythe "made in France = souverain"
Beaucoup d'éditeurs français revendiquent la souveraineté tout en utilisant :
- Un LLM externe (OpenAI, Anthropic, Google Gemini) — les données client sont envoyées en clair aux États-Unis
- DocuSign ou Adobe Sign pour les signatures
- HubSpot, Salesforce ou Intercom pour le support client (les conversations sont aux États-Unis)
- Google Analytics ou Mixpanel pour les statistiques d'usage
Souveraineté réelle = l'ensemble de la chaîne, pas seulement l'hébergement de la base de données.
Comment IAMSHIBA se positionne
IAMSHIBA est conçu sur un principe simple : zéro sous-traitant hors UE. Concrètement :
- Hébergement en France
- Pas de LLM externe — Shibot (assistant interne) est rules-based, aucune donnée client envoyée à OpenAI, Anthropic ou Google
- Signature électronique native, conforme eIDAS — pas de DocuSign
- Support client interne, pas de sous-traitance hors UE
- DPA court, transparent, listant exhaustivement les sous-traitants
Ce positionnement structure tout le produit, y compris les arbitrages techniques. Voir aussi : RGPD pour expert-comptable.
Échanger sur la souveraineté de votre stack
15 minutes pour comparer votre outillage actuel aux critères de souveraineté.
Demander une démo