Secret professionnel et cloud : peut-on héberger les données client chez un tiers ?

Vous manipulez chaque jour des bilans, des déclarations fiscales, des relevés bancaires, des données personnelles. Le secret professionnel vous oblige légalement à protéger ces informations. Alors quand un éditeur SaaS vous propose d'héberger tout ça « dans le cloud », la question se pose : est-ce compatible avec vos obligations déontologiques ?

La réponse courte : oui, c'est légal — mais à certaines conditions. Voici ce que disent les textes, ce que recommande l'Ordre, et les critères concrets pour choisir un hébergeur en toute sécurité.

Ce que dit la loi sur le secret professionnel

Le secret professionnel de l'expert-comptable est défini par l'article L.822-15 du Code de commerce (anciennement art. 21 de l'ordonnance de 1945). Il couvre « toutes les informations recueillies dans l'exercice de la profession » — sans exception.

La violation du secret est punie par l'article 226-13 du Code pénal : un an d'emprisonnement et 15 000 € d'amende. Ce n'est pas symbolique.

Mais le secret professionnel n'interdit pas de recourir à des sous-traitants ou à des outils tiers. Il impose que ces tiers ne puissent pas accéder aux données en clair sans votre autorisation, et que des garanties contractuelles et techniques encadrent la relation.

L'Ordre des experts-comptables a d'ailleurs précisé dans ses recommandations que l'utilisation d'outils SaaS est admise dès lors que le prestataire respecte un certain nombre de conditions — notamment en matière de localisation des données, de chiffrement et de conformité RGPD.

Les 5 conditions pour héberger légalement dans le cloud

Voici les 5 critères cumulatifs à vérifier avant de confier des données clients à un hébergeur.

1. Hébergement dans l'Union européenne (ou l'EEE)

Les données doivent rester dans l'Espace économique européen. Pas de transfert vers les États-Unis, la Chine ou un autre pays tiers — sauf mécanisme d'adéquation validé par la CNIL (et il y en a très peu).

Concrètement : vérifiez que le datacenter est en France ou dans l'UE. Attention aux hébergeurs qui ont un siège en Europe mais des serveurs aux États-Unis.

2. Chiffrement des données (transit + repos)

Les données doivent être chiffrées en transit (TLS 1.2 ou 1.3) et au repos (AES-256). Le chiffrement au repos signifie que même si un disque dur est volé physiquement, les données sont illisibles sans la clé.

L'idéal : un chiffrement côté serveur avec clés gérées par l'hébergeur, voire un chiffrement côté client (le prestataire SaaS ne peut pas lire vos données).

3. Contrat de sous-traitance RGPD (DPA)

Le RGPD (article 28) impose un contrat écrit entre le responsable du traitement (vous, le cabinet) et le sous-traitant (l'éditeur SaaS). Ce contrat — appelé DPA (Data Processing Agreement) — doit préciser la finalité du traitement, la durée, les catégories de données, les mesures de sécurité, et les droits d'audit.

Tout éditeur sérieux vous fournit un DPA signable. Si un éditeur ne peut pas vous fournir de DPA, c'est un signal d'alarme immédiat.

4. Contrôle d'accès strict

Qui peut accéder aux données ? Les accès doivent être limités au strict nécessaire (principe du moindre privilège). L'authentification multi-facteur (MFA) doit être disponible — et activée. Les journaux d'accès (logs) doivent être conservés et consultables.

Le prestataire SaaS ne doit pas avoir un accès libre à vos données clients. Son accès doit être technique (maintenance, support) et encadré contractuellement.

5. Auditabilité et certifications

L'hébergeur doit être auditable. En pratique, cela passe par des certifications reconnues : ISO 27001 (sécurité de l'information), SOC 2, HDS (Hébergeur de Données de Santé — pas obligatoire pour les cabinets comptables, mais un gage de sérieux).

La certification ISO 27001 de l'hébergeur (pas juste de l'éditeur SaaS) est le minimum à exiger.

Les questions à poser à votre éditeur

Avant de signer avec un éditeur SaaS, posez ces 5 questions. Si une réponse est floue ou manquante, passez votre chemin.

« Où sont hébergées les données ? » — Réponse attendue : un datacenter nommé, en France ou dans l'UE. Pas « en Europe » sans précision.

« Avez-vous un DPA conforme à l'article 28 du RGPD ? » — Réponse attendue : oui, disponible et signable. Idéalement déjà en annexe du contrat.

« Les données sont-elles chiffrées au repos et en transit ? » — Réponse attendue : TLS 1.2+ en transit, AES-256 au repos. Si l'éditeur ne sait pas répondre, c'est un problème.

« Qui chez vous a accès aux données de mes clients ? » — Réponse attendue : accès technique limité, avec journalisation. Pas « toute l'équipe support ».

« Quelles certifications avez-vous (ou votre hébergeur) ? » — Réponse attendue : ISO 27001 au minimum. SOC 2, HDS en bonus.

Le cas particulier des hébergeurs américains

Microsoft Azure, Amazon AWS, Google Cloud : ces trois géants dominent le marché du cloud. Leurs datacenters en France (Azure France Central, AWS eu-west-3) sont techniquement conformes au RGPD — les données restent physiquement en France.

Mais le CLOUD Act américain permet théoriquement aux autorités américaines de demander l'accès aux données hébergées par une entreprise américaine, même si les serveurs sont en Europe. C'est le point de friction juridique.

En pratique, le risque est faible pour un cabinet comptable français : vous n'êtes pas la cible du CLOUD Act. Le Conseil National des Barreaux a d'ailleurs admis l'utilisation de Microsoft 365 pour les avocats, sous conditions — et les avocats ont un secret professionnel plus strict que les experts-comptables.

Si ce risque vous préoccupe, des alternatives européennes existent : OVHcloud, Scaleway, Outscale — tous certifiés et basés en France, sans soumission au CLOUD Act.

Ce que fait eexpi concrètement

eexpi est hébergé sur Microsoft Azure, région France Central (datacenter de Paris). Les données ne quittent jamais la France.

Le chiffrement est actif en transit (TLS 1.3) et au repos (AES-256, clés gérées par Azure Key Vault). L'authentification multi-facteur est disponible. Les accès sont journalisés.

Un DPA conforme à l'article 28 du RGPD est fourni à chaque client. L'hébergeur (Azure) est certifié ISO 27001, SOC 2, et CSA STAR.

En résumé : votre secret professionnel est préservé, vos données restent en France, et les garanties sont contractualisées.

Le cloud n'est pas l'ennemi du secret professionnel

C'est un tableur Excel non protégé par mot de passe, partagé par email, qui l'est. Le cloud — bien choisi — est plus sûr que la plupart des pratiques actuelles.