Logiciel français pour PME :
pourquoi et comment choisir

§ 1 · Pourquoi ça vous concerneLa souveraineté numérique, sujet concret pour une PME

Commençons par écarter un malentendu. La souveraineté numérique n'est pas un débat réservé aux ministères et aux opérateurs d'importance vitale. La donnée d'entreprise est devenue un actif stratégique à part entière : votre fichier client, votre comptabilité, vos contrats, vos documents internes, vos échanges d'équipe. Leur fuite, leur copie ou leur surveillance peut coûter cher — préjudice commercial, sanction RGPD, atteinte au secret des affaires. Une PME de quinze personnes qui perd la confidentialité de son pipeline commercial ne subit pas un incident abstrait : elle perd un avantage concurrentiel.

Or la majorité des outils SaaS utilisés aujourd'hui par les PME françaises sont édités par des sociétés américaines ou non européennes : Microsoft, Google, Salesforce, Slack, Notion, et bien d'autres. Ce n'est pas un procès — ce sont d'excellents produits. C'est une constatation juridique : ces sociétés sont soumises au droit des États-Unis, et notamment au Cloud Act, adopté en 2018.

Le Cloud Act mérite d'être compris sans caricature. Il permet aux autorités américaines de réclamer à un éditeur soumis au droit US des données qu'il détient ou contrôle, y compris lorsque ces données sont hébergées physiquement en Europe, et le cas échéant sans que l'entreprise cliente en soit informée. Ce n'est pas une menace permanente qui pèserait sur chaque PME : c'est un risque juridique mesurable, dont la probabilité dépend de votre secteur et de la sensibilité de vos données, mais qui existe par construction dès que votre prestataire relève de cette juridiction.

Le RGPD européen est censé protéger les données personnelles des citoyens de l'Union. Mais la Cour de Justice de l'Union européenne a confirmé en 2020, par l'arrêt Schrems II, que les transferts de données vers les États-Unis posaient un problème de conformité : elle a invalidé le « Privacy Shield » qui les encadrait jusque-là. Depuis, le sujet est juridiquement instable, et la simple présence d'un sous-traitant soumis au droit américain dans votre chaîne de traitement appelle des précautions contractuelles spécifiques.

Insistons sur la mesure : il ne s'agit pas d'agiter « le grand méchant Cloud Act » ni de verser dans un anti-américanisme technologique qui décrédibilise immédiatement. Il s'agit d'intégrer un paramètre parmi d'autres dans une décision d'achat — au même titre que le prix, les fonctionnalités ou la qualité du support. Un dirigeant prudent ne choisit pas ses outils en ignorant la juridiction qui les régit. C'est tout.

§ 2 · La définition« Logiciel français » : quatre critères, pas un seul

Le mot « français » est devenu un argument commercial, et comme tout argument commercial, il est utilisé à bon comme à mauvais escient. Beaucoup d'éditeurs s'auto-proclament français en cochant un critère sur quatre — souvent le plus visible et le moins engageant. Pour y voir clair, il faut distinguer les quatre critères qui doivent se cumuler, au moins partiellement, pour qu'un éditeur soit légitimement qualifié de français.

Premier critère : le code source développé en France ou en Europe. Le savoir-faire technique reste sur le sol européen, et les équipes qui écrivent et maintiennent le logiciel sont soumises au droit local. Ce n'est pas un détail symbolique : la maîtrise du code conditionne la capacité à corriger, à auditer et à faire évoluer un produit sans dépendre d'une entité étrangère.

Deuxième critère : l'hébergement physique des données en France. Le datacenter qui stocke réellement vos données doit être situé sur le territoire français, idéalement chez un hébergeur français certifié — HDS pour les données de santé, SecNumCloud (la qualification de l'ANSSI) pour les données les plus sensibles. C'est le critère le plus facile à vérifier… et le plus souvent contourné par des formules floues du type « données hébergées en Europe » qui peuvent recouvrir un cloud américain opéré depuis Dublin ou Francfort.

Troisième critère : le droit applicable français. Le contrat qui vous lie à l'éditeur doit être régi par le droit français, pas par le droit californien ou irlandais. En cas de litige, c'est un tribunal français qui tranche, selon des règles que vous connaissez et devant lesquelles vous n'êtes pas désarmé. Ce critère se lit noir sur blanc dans les conditions générales — encore faut-il prendre le temps de les ouvrir.

Quatrième critère : l'actionnariat majoritairement français ou européen. C'est le critère le plus négligé et pourtant le plus structurant dans la durée. Un éditeur français au capital majoritairement étranger, ou racheté demain par un acteur extra-européen, peut basculer sous une autre juridiction du jour au lendemain. Les exemples ne manquent pas de pépites françaises passées sous pavillon américain ; vos données suivent alors le nouveau propriétaire.

Une précision honnête s'impose : un éditeur qui coche les quatre critères est rare. Beaucoup d'acteurs sérieux en cochent trois — par exemple un excellent produit français hébergé en France et soumis au droit français, mais qui s'appuie en arrière-plan sur l'infrastructure d'un grand fournisseur cloud américain. Trois sur quatre, c'est déjà très solide, et c'est un choix défendable. Mais zéro sur quatre, c'est-à-dire un produit américain repeint aux couleurs locales, ce n'est pas un logiciel français : c'est du marketing.

§ 3 · Le RGPD au quotidienCe qui change vraiment pour votre PME

On parle beaucoup du RGPD comme d'une contrainte administrative lointaine. En réalité, il impose à toute entreprise traitant des données personnelles — donc à toutes les PME, sans exception — une série d'obligations très concrètes : tenir un registre des traitements, sécuriser l'accès aux données, déclarer les sous-traitants qui y ont accès, encadrer et limiter les transferts hors UE, et pouvoir répondre aux demandes de droits d'accès des personnes concernées.

C'est sur le terrain des sous-traitants que le choix de l'éditeur prend toute son importance. Le piège est mécanique : si votre logiciel SaaS principal est lui-même hébergé chez AWS, Microsoft Azure ou Google Cloud, vous avez un sous-traitant soumis au droit américain dans votre chaîne de traitement — souvent sans le savoir. Ce sous-traitant doit être déclaré dans votre registre, justifié, et encadré par des clauses contractuelles types (CCT). Or l'efficacité réelle de ces clauses face au Cloud Act est précisément ce que plusieurs autorités européennes, dont la CNIL, jugent contestable.

L'avantage d'un éditeur français hébergé en France est, sur ce point, d'une grande simplicité : un seul niveau, un seul droit, aucun transfert hors UE à justifier. Vous n'avez pas à documenter une cascade de sous-traitants extra-européens, ni à argumenter sur la validité de garanties contractuelles dans un contexte juridique mouvant. La conformité n'est pas « gagnée d'avance » — vous restez responsable de vos propres traitements — mais elle est nettement plus facile à tenir et à démontrer en cas de contrôle.

§ 4 · L'écosystèmeLe SaaS B2B français : un panorama rassurant

Une crainte revient souvent chez les dirigeants : « Si je veux des outils sérieux, je n'ai pas le choix, il faut aller chez les Américains. » Cette crainte était fondée il y a dix ans. Elle ne l'est plus. Depuis 2018-2020, l'écosystème SaaS français B2B a beaucoup mûri, porté par une vague d'investissements et par une demande croissante de souveraineté. Des acteurs solides existent désormais dans presque toutes les catégories d'outils dont une PME a besoin au quotidien.

Pour donner une idée de la diversité — sans favoritisme, simplement pour montrer que l'offre existe — :

• Communication et collaboration d'équipe : Whaller, Mattermost, Cryptpad.
• Gestion comptable : Pennylane, Indy, Tiime.
• CRM et facturation : Sellsy, Axonaut, Furious.
• Ressources humaines : Lucca, Payfit.
• Hébergement cloud : OVHcloud, Scaleway, Outscale.
• Email et messagerie : Mailo, Whaller.

Cette liste n'est ni exhaustive ni un classement. Elle illustre un fait simple : pour les fonctions courantes d'une PME de services — relation client, collaboration, gestion d'activité, RH, facturation — l'offre française est aujourd'hui largement à la hauteur, et souvent plus simple à prendre en main que les suites tentaculaires des géants américains, pensées pour des grands comptes et leurs armées d'administrateurs.

Soyons honnêtes sur les limites, car prétendre le contraire serait du cocorico. Pour certaines fonctions très spécialisées — la CAO industrielle, l'ERP industriel lourd, l'IA générative grand public — l'offre française reste plus restreinte, et il serait absurde de se priver par principe d'un outil étranger sans équivalent. Mais ces cas sont l'exception. Pour le cœur de l'activité d'une PME services, le choix français n'implique aujourd'hui aucun renoncement fonctionnel.

§ 5 · La vérificationComment savoir si un éditeur est vraiment français

Voici la partie la plus utile de cet article : une grille que vous pouvez appliquer en dix minutes, face à n'importe quel éditeur, avant de lui confier vos données. Il ne s'agit pas de le soumettre à un interrogatoire, mais d'obtenir des réponses claires, écrites et vérifiables. Un éditeur qui esquive ces questions vous renseigne déjà.

Où sont physiquement hébergées les données ? Demandez le nom de l'hébergeur, le pays exact du datacenter et les certifications éventuelles (HDS, SecNumCloud, ISO 27001). Méfiez-vous du « hébergé en Europe » qui ne dit rien de la juridiction réelle de l'opérateur.

Quel est le droit applicable au contrat ? Ouvrez les conditions générales et cherchez la clause de droit applicable et de juridiction compétente. Le droit français est attendu ; le droit irlandais ou californien est un signal fort sur la nature réelle de l'éditeur.

Y a-t-il des sous-traitants hors UE ? La liste des sous-traitants doit être publique ou accessible sur demande. Tout sous-traitant hors UE doit être déclaré explicitement et encadré par des clauses contractuelles types. Un éditeur sérieux assume cette transparence.

Quel est l'actionnariat majoritaire ? Une société française à capital français limite l'exposition aux juridictions étrangères. C'est vérifiable gratuitement sur le KBIS de l'entreprise (infogreffe.fr) ou via societe.com.

L'éditeur publie-t-il une politique RGPD claire et à jour ? Pas une politique américaine traduite à la va-vite, mais un document spécifique au droit européen, qui détaille les durées de conservation, la liste des sous-traitants et les modalités d'exercice des droits des personnes concernées. La qualité de ce document en dit long sur le sérieux de l'éditeur.

§ 6 · Et Nivano ?Les quatre critères, passés en revue

Nous avons proposé une grille ; il serait malhonnête de ne pas y soumettre Nivano. Voici donc, factuellement, ce que donne l'examen des quatre critères appliqués à notre propre service.

Code source développé en France. Notre produit est conçu et développé par une équipe française. Hébergement physique en France. Vos données résident dans un datacenter situé sur le territoire français, chez un hébergeur français ; aucune donnée n'est transférée hors de l'Union européenne. Droit applicable français. Le contrat qui vous lie à Nivano est régi par le droit français, et un tribunal français est compétent en cas de litige. Actionnariat français. Nivano est édité par une société française à capital français — vérifiable, comme pour tout éditeur, sur son KBIS.

Sur les quatre critères, donc, Nivano coche les quatre. Nous le disons sans triomphalisme : c'est un point de départ, pas un aboutissement. La souveraineté se prouve dans la durée et dans les actes, pas dans une page marketing.

C'est dans cet esprit que Nivano est par ailleurs en cours de certification ISO 27001, démarche entamée en parallèle de notre travail vers l'agrément Plateforme Agréée pour la facturation électronique 2026. Cette certification, lorsqu'elle sera obtenue, attestera de la robustesse de notre système de gestion de la sécurité de l'information : il s'agit d'un référentiel exigeant, audité par un organisme indépendant. Nous tenons à la formulation exacte — la démarche est engagée, la certification n'est pas encore délivrée, et nous ne prétendons pas le contraire.

En résumé

Pour une PME française, choisir un outil français n'est pas un acte militant. C'est une simple application des critères de prudence que tout dirigeant applique déjà à ses autres décisions : savoir qui détient ses données, sous quelle juridiction, et avec quelles garanties. Le Cloud Act et l'arrêt Schrems II ne sont pas des épouvantails ; ce sont des réalités juridiques à intégrer dans un arbitrage, parmi le prix, les fonctionnalités et le support.

Retenez la grille des quatre critères et les cinq questions. Elles suffisent à distinguer un éditeur réellement souverain d'un produit étranger repeint aux couleurs locales — et à décider, en connaissance de cause, ce qui convient à votre entreprise.

Sources de cet article

• CNIL, Commission Nationale de l'Informatique et des Libertés — Transférer des données hors de l'UE et position sur la certification européenne de cloud (juillet 2024)
• ANSSI, Agence Nationale de la Sécurité des Systèmes d'Information — cyber.gouv.fr (référentiel SecNumCloud)
• DINUM, Direction Interministérielle du Numérique — numerique.gouv.fr
• CJUE, arrêt Schrems II, 16 juillet 2020 — affaire C-311/18 (invalidation du Privacy Shield)

Article publié le 9 juin 2026. Mis à jour le 9 juin 2026. Le cadre juridique des transferts de données peut évoluer — se référer aux sources institutionnelles pour le détail à jour.