Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 3 juillet 2026
RGPD

Axonaut et RGPD : guide de conformité 2026

Axonaut et RGPD : sous-traitant Art. 28, hébergement UE, DPA et facturation électronique 2026. Le guide de conformité pour TPE/PME.

Axonaut concentre dans un seul outil ce que la plupart des TPE/PME dispersaient jusqu’ici entre trois logiciels : CRM, devis-factures et comptabilité. Résultat : la totalité de votre base clients, de vos prospects et de vos écritures de facturation vit désormais sur une plateforme unique. Bonne nouvelle pour la productivité, question sérieuse pour le RGPD. Voici comment cadrer proprement l’usage d’Axonaut, sans surdocumenter ni négliger les points qui comptent.

Axonaut est votre sous-traitant, pas votre sous-traité

Premier réflexe : qualifier la relation. Quand vous saisissez un client, un prospect ou une facture dans Axonaut, c’est vous qui décidez des finalités (gérer votre relation commerciale, facturer) et des moyens. Vous êtes donc le responsable de traitement. Axonaut, qui héberge et traite ces données pour votre compte et selon vos instructions, est votre sous-traitant au sens de l’Art. 28 du RGPD.

Cette qualification a une conséquence pratique immédiate : vous devez disposer d’un contrat de sous-traitance conforme à l’Art. 28(3). Axonaut intègre ces clauses dans ses conditions et sa politique de protection des données (mise à jour au 12 mars 2026), mais c’est à vous de vous assurer que le document couvre bien les mentions obligatoires — objet et durée du traitement, obligation de confidentialité, mesures de sécurité, recours aux sous-traitants ultérieurs, assistance à l’exercice des droits, sort des données en fin de contrat. Dans mon expérience de conseil auprès de PME, ce contrat existe presque toujours côté éditeur ; ce qui manque, c’est la preuve que le client l’a récupéré et versé à son dossier de conformité.

Cette logique est la même que pour tous les logiciels de gestion au regard du RGPD : l’outil vous simplifie l’exécution, il ne vous transfère pas la responsabilité.

L’atout d’Axonaut : un hébergement 100 % européen

C’est le point qui distingue Axonaut de la plupart des suites de gestion anglo-saxonnes. Les données sont hébergées sur des serveurs situés dans l’Union européenne, via Scaleway (France) et Hetzner (Allemagne). Pour le cœur du traitement — vos fiches clients, vos devis, vos factures — il n’y a donc pas de transfert de données hors de l’Union européenne au sens du chapitre V du RGPD.

Concrètement, cela vous évite l’exercice le plus lourd de la conformité aux transferts hors UE : pas besoin de documenter des Clauses Contractuelles Types ni de mener une analyse d’impact des transferts (TIA) pour l’hébergement. C’est un vrai gain, et c’est un argument légitime à faire valoir dans votre registre des activités de traitement. Vous pouvez d’ailleurs approfondir le sujet de l’hébergeur français dans mon guide dédié à Scaleway et le RGPD.

La nuance à ne pas oublier : les sous-traitants de paiement

Attention toutefois à ne pas conclure trop vite « hébergement UE, donc zéro transfert ». Axonaut recourt à des sous-traitants ultérieurs pour l’encaissement : Stripe et GoCardless. Or Stripe opère des traitements aux États-Unis. Dès lors que vous activez l’encaissement en ligne, une partie limitée de données (identité du payeur, montants) peut transiter vers un pays tiers, encadrée par le Data Privacy Framework et des Clauses Contractuelles Types de repli. GoCardless relève, lui, du régime britannique, couvert par une décision d’adéquation de la Commission.

La bonne pratique n’est pas de renoncer à ces services, mais de les cartographier honnêtement : listez Scaleway, Hetzner, Stripe et GoCardless comme sous-traitants ultérieurs dans votre registre, et distinguez ceux qui restent dans l’UE de ceux qui déclenchent un transfert. L’Art. 28(2) vous donne le droit d’être informé de tout changement dans cette chaîne.

La dimension 2026 : Axonaut est devenue Plateforme Agréée

Il y a une raison de plus de traiter Axonaut à part cette année. Depuis le 8 janvier 2026, Axonaut est immatriculée Plateforme Agréée (PA n°0110) par la DGFiP, dans le cadre de la réforme de la facturation électronique (l’ancien statut « PDP » a été renommé « Plateforme Agréée » en juillet 2025). Cela signifie que vous pouvez émettre, recevoir et transmettre vos factures aux formats réglementaires — Factur-X, UBL, CII — et gérer l’e-reporting directement depuis l’outil.

Ce statut ajoute une couche de traitement que les autres logiciels de gestion n’ont pas. En tant que Plateforme Agréée, Axonaut fait circuler les données de facturation — identité et SIREN de vos clients, montants, éventuellement coordonnées de contacts — vers l’annuaire et vers l’administration fiscale au titre de l’e-reporting. Deux conséquences RGPD :

D’abord, la base légale de ces transmissions n’est pas votre intérêt légitime mais l’obligation légale de l’Art. 6(1)© : la réforme vous impose de transmettre. Ensuite, vos clients doivent en être informés. Pensez à mentionner, dans votre politique de confidentialité et au titre de l’Art. 13, que leurs données de facturation sont transmises à l’administration via une Plateforme Agréée. Pour anticiper le calendrier et le choix de plateforme, voir mon guide sur comment choisir sa PDP.

Un point à ne pas confondre : la certification anti-fraude à la TVA (article 286 du CGI) et l’immatriculation de Plateforme Agréée attestent de la conformité fiscale de l’outil. Elles ne valent pas conformité RGPD. Un logiciel peut être parfaitement inattaquable côté DGFiP et vous laisser, côté données personnelles, l’intégralité du travail de responsable de traitement.

Vos cinq obligations concrètes en tant que responsable de traitement

Une fois la qualification posée, voici ce qu’il reste à faire de votre côté — et que l’outil ne fera pas à votre place.

Documenter au registre. Inscrivez à votre registre des traitements les finalités portées par Axonaut : gestion de la relation client (CRM), facturation, relances, et le cas échéant prospection commerciale. Une ligne par finalité, avec base légale, durées et destinataires.

Choisir la bonne base légale. La gestion des clients existants et la facturation reposent sur l’exécution du contrat (Art. 6(1)(b)) et, pour la conservation comptable, sur l’obligation légale (Art. 6(1)©). La prospection commerciale vers des tiers, elle, relève du consentement ou de l’intérêt légitime selon le canal — ne mélangez pas les deux régimes dans un même envoi de masse.

Maîtriser les durées de conservation. Les factures et pièces comptables se conservent dix ans (article L123-22 du Code de commerce). En revanche, les données de prospection B2C doivent être supprimées trois ans après le dernier contact, conformément aux recommandations de la CNIL. Ces deux logiques cohabitent dans Axonaut : ne gardez pas indéfiniment une fiche prospect au prétexte qu’une facture ancienne existe. La durée de conservation doit rester alignée sur la finalité, au titre de la minimisation de l’Art. 5(1)©.

Sécuriser les accès. Axonaut chiffre les données au repos et lors des transferts. Mais l’Art. 32 ne s’arrête pas au chiffrement de l’éditeur : le risque principal, en pratique, est organisationnel. Activez l’authentification à double facteur, réservez chaque compte à un utilisateur nommé (jamais de compte partagé), et calibrez les habilitations — un commercial n’a pas besoin d’accéder aux données comptables. Ces mesures relèvent de votre responsabilité au titre de l’Art. 32.

Organiser l’exercice des droits. Quand un client demande l’accès ou l’effacement de ses données, c’est vous qui répondez, pas Axonaut ; l’éditeur doit seulement vous y aider (Art. 28(3)(e) et (f)). Sachez que le droit à l’effacement se heurte aux durées de conservation légales : vous pouvez retirer une fiche prospect, mais pas une facture soumise à l’obligation de conservation décennale.

Faut-il une analyse d’impact (AIPD) ?

Pour un usage standard — CRM et facturation d’une TPE/PME — une analyse d’impact n’est en principe pas obligatoire : on n’est ni dans le suivi systématique à grande échelle, ni dans le traitement de données sensibles au sens de l’Art. 9. Elle le deviendrait si vous détourniez Axonaut vers du profilage massif ou du scoring comportemental. Dans le doute, une évaluation rapide au regard des critères des lignes directrices EDPB 04/2016 suffit à trancher, et à en garder la trace.

Ce qu’il faut retenir

  • Axonaut est votre sous-traitant (Art. 28) : récupérez le DPA, versez-le à votre dossier de conformité, et cartographiez la chaîne de sous-traitance.
  • L’hébergement est 100 % UE (Scaleway en France, Hetzner en Allemagne) : pas de transfert hors UE pour le cœur du traitement, donc pas de TIA sur l’hébergement.
  • Nuance transferts : les moyens de paiement (Stripe aux États-Unis, GoCardless au Royaume-Uni) réintroduisent la question du chapitre V — à documenter, sans dramatiser.
  • Nouveauté 2026 : Axonaut est Plateforme Agréée (PA n°0110). Les données de facturation transitent vers l’administration au titre de l’obligation légale (Art. 6(1)©) — informez-en vos clients.
  • La certification fiscale ne vaut pas conformité RGPD : registre, durées, sécurité des accès et exercice des droits restent votre travail de responsable de traitement.

FAQ

Axonaut est-il conforme au RGPD ?

Axonaut fournit les garanties attendues d’un sous-traitant : hébergement dans l’Union européenne, chiffrement, DPA avec ses propres sous-traitants et clauses de l’Art. 28. Mais « l’outil est conforme » ne signifie pas « votre entreprise est conforme » : en tant que responsable de traitement, il vous reste à documenter le registre, gérer les durées de conservation et organiser l’exercice des droits.

Où sont hébergées les données d’Axonaut ?

Sur des serveurs situés dans l’Union européenne, via Scaleway (France) et Hetzner (Allemagne). Le cœur des traitements ne fait donc pas l’objet d’un transfert hors UE. Seuls les sous-traitants de paiement, comme Stripe, peuvent impliquer un transfert vers un pays tiers, encadré par des garanties appropriées.

Le statut de Plateforme Agréée d’Axonaut change-t-il mes obligations RGPD ?

Oui, sur un point précis : les données de vos factures sont transmises à l’administration fiscale au titre de l’e-reporting, sur la base de l’obligation légale (Art. 6(1)©). Vous devez en informer vos clients dans votre politique de confidentialité. Le reste de vos obligations de responsable de traitement demeure inchangé.

Combien de temps conserver les données clients dans Axonaut ?

Les factures et pièces comptables se conservent dix ans (Code de commerce). Les données de prospection B2C doivent être supprimées trois ans après le dernier contact. Ces durées doivent être appliquées séparément : une facture ancienne ne justifie pas de conserver indéfiniment une fiche prospect inactive.