Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

Sellsy et RGPD : guide de conformité 2026

Sellsy est-il conforme au RGPD ? Hébergement France via Scaleway, statut de sous-traitant, DPA et configuration recommandée pour votre CRM.

Sellsy fait partie de ce petit cercle d’éditeurs français qui mettent en avant l’hébergement de vos données en France. C’est un argument réel, et un argument fort. Mais dans mon expérience de conseil, c’est aussi celui qui endort le plus vite la vigilance : « les données sont en France, donc je suis conforme ». Non. L’hébergement règle la question du transfert hors UE, pas celle de votre propre responsabilité de responsable de traitement.

Sellsy a la particularité de cumuler deux régimes RGPD dans un seul outil : un CRM (prospects, prospection commerciale) et une suite de facturation (clients, comptabilité). Ces deux usages n’obéissent ni à la même base légale, ni aux mêmes durées de conservation. Voici comment qualifier votre relation avec Sellsy, ce que recouvre vraiment son hébergement « France », et la configuration que je recommande.

Pour une vue d’ensemble, consultez notre guide sur la conformité RGPD des outils et logiciels.

Sellsy est votre sous-traitant au sens de l’article 28

Première qualification, structurante. Quand vous saisissez vos prospects, vos clients et vos factures dans Sellsy, c’est vous qui décidez des finalités (gérer votre relation commerciale, prospecter, facturer) et des moyens essentiels du traitement. Vous êtes le responsable de traitement. Sellsy, qui héberge et fait tourner l’outil « pour votre compte », est un sous-traitant au sens de l’article 4(8) du RGPD.

Cette qualification déclenche l’application de l’article 28 du RGPD : un contrat — l’accord de traitement des données, ou DPA — doit encadrer la relation. Sellsy intègre ce DPA à ses conditions générales : il s’applique automatiquement dès la signature de votre abonnement, sans démarche particulière de votre part. C’est le sens de l’article 28(3), qui exige notamment que le sous-traitant n’agisse que sur instruction documentée, garantisse la confidentialité, et vous assiste pour répondre aux droits des personnes.

Attention à ne pas confondre les deux casquettes de Sellsy. Pour les données de votre CRM, Sellsy est sous-traitant. Mais pour les données qu’il traite en son nom propre — votre compte client, votre facturation Sellsy, ses propres opérations marketing —, Sellsy est responsable de traitement et a d’ailleurs désigné un DPO joignable à dpo@sellsy.com. Cette distinction n’est pas théorique : elle détermine à qui s’adresse une personne qui exerce ses droits.

L’hébergement en France : un atout réel, pas un blanc-seing

Sellsy héberge le logiciel et les données associées en région parisienne, sur des serveurs administrés par Scaleway, hébergeur français certifié PCI-DSS et ISO 27001. Concrètement, vos données de production restent dans l’Union européenne. Vous échappez ainsi à la problématique des transferts vers les États-Unis qui plombe la conformité d’outils comme Salesforce ou HubSpot, soumis au EU-US Data Privacy Framework et à son incertitude juridique persistante.

C’est un vrai avantage de souveraineté. Ayant travaillé six ans à la DCSSI, je reste convaincu que la localisation de la donnée dans un cadre juridique maîtrisé est l’un des arguments les plus solides face à un risque de transfert.

Mais deux nuances s’imposent. D’abord, l’hébergement principal en France ne signifie pas que toute la chaîne est franco-française : la politique de confidentialité de Sellsy prévoit qu’il peut recourir à des sous-traitants ultérieurs situés hors de l’Union européenne, en s’appuyant alors sur les Clauses Contractuelles Types de la Commission (décision 2021/914) assorties de garanties additionnelles. Pensez par exemple aux outils de support, d’emailing transactionnel ou d’analyse intégrés à la plateforme. Demandez la liste actualisée des sous-traitants ultérieurs avant de conclure que « tout est en France ».

Ensuite, et c’est l’essentiel : l’hébergement règle sont vos données, jamais si vous avez le droit de les traiter. Cette seconde question relève entièrement de vous.

CRM et facturation : deux régimes à ne pas mélanger

C’est ici que se joue la conformité réelle de votre usage de Sellsy. L’outil agrège des traitements aux régimes distincts, et la même donnée ne suit pas les mêmes règles selon sa finalité.

Le volet CRM et prospection

Vos fiches prospects et l’envoi d’e-mails commerciaux relèvent de la prospection commerciale. En B2B, la base légale est généralement l’intérêt légitime (Art. 6(1)(f)), à condition que la sollicitation soit en rapport avec la fonction professionnelle du destinataire et qu’une information claire ainsi qu’un droit d’opposition simple soient offerts. En B2C, le principe est l’opt-in : consentement préalable avant tout e-mail marketing, conformément à l’article L. 34-5 du Code des postes et des communications électroniques.

Si vous utilisez les campagnes d’emailing de Sellsy, tracez la source de chaque contact (formulaire web, salon, achat de fichier) et la base légale associée. C’est exactement ce qu’un contrôle CNIL vous demandera de démontrer.

Le volet facturation et comptabilité

Les données de facturation obéissent à une autre logique. La base légale n’est plus l’intérêt légitime mais l’obligation légale (Art. 6(1)©) et l’exécution du contrat (Art. 6(1)(b)). Surtout, les durées de conservation divergent : une facture se conserve dix ans au titre des obligations comptables (article L. 123-22 du Code de commerce), là où une fiche prospect inactif n’a pas vocation à rester trois ans dans votre CRM. Pour approfondir, voyez notre guide sur les données personnelles des factures.

L’erreur classique que je rencontre : appliquer une durée unique à toute la base Sellsy. Configurez des règles de purge distinctes pour les prospects, les clients actifs et les archives comptables.

Ce que vous devez configurer et documenter

Côté responsable de traitement, quelques actions concrètes font la différence entre un usage conforme et un usage exposé :

Inscrivez Sellsy dans votre registre des activités de traitement. Une même solution peut générer plusieurs lignes de registre : « gestion de la prospection », « gestion des clients et facturation », voire « gestion des contacts fournisseurs ». Chaque finalité, sa base légale et sa durée.

Récupérez et archivez le DPA de Sellsy ainsi que la liste de ses sous-traitants ultérieurs. En cas de contrôle, c’est la preuve que vous avez encadré la sous-traitance conformément à l’article 28.

Soignez vos mentions d’information (Art. 13). Tout formulaire web qui alimente Sellsy — formulaire de contact, de devis, d’inscription newsletter — doit informer la personne de la finalité, de la base légale, de la durée et de ses droits.

Maîtrisez les accès internes. Sellsy étant partagé entre commerciaux, comptables et parfois dirigeants, appliquez le principe de minimisation aux habilitations : tout le monde n’a pas besoin de voir l’intégralité des fiches. Un commercial n’a pas à accéder aux données comptables, et un compte qui quitte l’entreprise doit être désactivé sans délai. C’est une exigence de sécurité au sens de l’article 32 du RGPD, et l’une des défaillances les plus fréquemment relevées par la CNIL.

Paramétrez la gestion des droits. Sellsy doit vous permettre d’extraire, rectifier et supprimer les données d’une personne qui exerce un droit d’accès ou d’effacement. Testez ce parcours avant d’en avoir besoin.

C’est précisément ce travail de cartographie des finalités, de tenue du registre et de suivi des sous-traitants que Legiscope automatise, pour éviter qu’un outil « hébergé en France » ne devienne le maillon faible faute de documentation.

Ce qu’il faut retenir

  • Sellsy est votre sous-traitant (Art. 28) pour les données de votre CRM et de votre facturation : un DPA s’applique automatiquement dès la souscription, à récupérer et archiver.
  • L’hébergement en France via Scaleway est un atout de souveraineté réel, mais Sellsy peut recourir à des sous-traitants ultérieurs hors UE (CCT de la décision 2021/914) — vérifiez la liste.
  • L’hébergement ne vous dispense de rien : la licéité de vos traitements (base légale, information, durées) reste votre responsabilité de responsable de traitement.
  • CRM et facturation sont deux régimes distincts : intérêt légitime ou consentement pour la prospection, obligation légale et conservation décennale pour la comptabilité.
  • Documentez : registre des traitements (une ligne par finalité), mentions d’information sur les formulaires, règles de purge différenciées.

FAQ

Sellsy est-il conforme au RGPD ?

Sellsy fournit les garanties attendues d’un sous-traitant : DPA conforme à l’article 28, hébergement en France via Scaleway (certifié ISO 27001 et PCI-DSS) et désignation d’un DPO. Mais la conformité de votre usage dépend de vous : base légale de chaque traitement, information des personnes et durées de conservation relèvent du responsable de traitement, pas de l’éditeur.

Où sont hébergées les données de Sellsy ?

Le logiciel et ses données de production sont hébergés en région parisienne, sur des serveurs administrés par Scaleway France. Certains sous-traitants ultérieurs peuvent toutefois être situés hors de l’Union européenne, encadrés par les Clauses Contractuelles Types ; demandez la liste à jour pour le vérifier.

Faut-il signer un contrat de sous-traitance avec Sellsy ?

Oui, l’article 28 du RGPD l’impose. Sellsy intègre cet accord de traitement des données (DPA) à ses conditions et il s’applique dès la souscription de l’abonnement. Pensez à le télécharger et à l’archiver : c’est une pièce attendue en cas de contrôle de la CNIL.

Quelle durée de conservation appliquer dans Sellsy ?

Cela dépend de la finalité. Un prospect inactif se conserve en général trois ans après le dernier contact ; un client actif, le temps de la relation ; une facture, dix ans au titre des obligations comptables. Configurez des règles de purge distinctes plutôt qu’une durée unique pour toute la base.


Vous souhaitez recevoir nos analyses pratiques sur la conformité RGPD chaque semaine ? Inscrivez-vous à notre newsletter et gardez une longueur d’avance.