Sage et RGPD : guide de conformité 2026

Sage est l’un des éditeurs de logiciels de comptabilité et de gestion les plus utilisés en France. Des dizaines de milliers de PME, de cabinets comptables et d’entreprises de taille intermédiaire s’appuient quotidiennement sur Sage 50, Sage 100, Sage Business Cloud ou Sage Intacct pour gérer leur comptabilité, leur facturation, leur paie et leurs déclarations fiscales. Ce positionnement fait de Sage un sous-traitant traitant des catégories de données personnelles particulièrement sensibles sur le plan financier : coordonnées bancaires, bulletins de salaire, numéros de sécurité sociale, données fiscales.

L’analyse RGPD de Sage présente une particularité importante par rapport aux outils SaaS américains comme Slack ou Notion : Sage est une entreprise britannique, fondée en 1981 à Newcastle. Le Brexit a modifié le cadre juridique des transferts de données vers le Royaume-Uni, même si la décision d’adéquation de la Commission européenne de juin 2021 maintient pour le moment un niveau de protection jugé équivalent. Ce guide fournit une analyse complète de Sage au regard du RGPD, avec un focus sur les données financières et salariales.

Pour une vue d’ensemble de la conformité des outils SaaS, consultez notre guide RGPD par outil.

Qualification juridique : Sage comme sous-traitant

Le statut de sous-traitant au sens de l’article 28

Sage Group plc agit en qualité de sous-traitant au sens de l’article 28 du RGPD pour l’ensemble de ses produits cloud et hébergés. Votre organisation détermine les finalités du traitement (gestion comptable, paie, facturation, déclarations fiscales) et les moyens essentiels (quels employés et quels clients sont enregistrés, quelles données sont saisies). Sage fournit l’infrastructure logicielle et traite les données selon vos instructions.

Cette qualification est claire et sans ambiguïté pour les produits cloud (Sage Business Cloud, Sage Intacct). Pour les versions on-premise de Sage 50 et Sage 100, la situation est différente : lorsque le logiciel est installé localement et que les données restent sur vos serveurs, Sage n’est pas sous-traitant au sens du RGPD car il ne traite pas vos données – il vous fournit simplement un outil. La qualification de sous-traitant ne s’applique que lorsque Sage héberge ou accède à vos données, notamment via le cloud, le support technique à distance, ou les services de sauvegarde en ligne.

Les différents modules et les données traitées

La particularité de Sage par rapport à d’autres outils SaaS est la diversité des modules et des catégories de données traitées :

• Sage Comptabilité : données clients et fournisseurs (noms, adresses, SIRET), écritures comptables, coordonnées bancaires
• Sage Paie : données salariales complètes (identité, adresse, numéro de sécurité sociale, salaire, situation familiale, congés, arrêts maladie)
• Sage Facturation : données des factures (identité des clients, montants, historique d’achat)
• Sage CRM : données de prospection et de suivi commercial

Chaque module constitue un traitement distinct dans votre registre des traitements et doit être documenté séparément.

Analyse du DPA Sage

Le DPA de Sage couvre les produits cloud et les services hébergés. Il est disponible dans les conditions contractuelles applicables aux clients professionnels. Voici l’analyse au regard de l’article 28 du RGPD.

Exigence Art. 28 RGPD	Couverture dans le DPA Sage	Évaluation
Objet, durée, nature et finalité du traitement	Définis dans le DPA et les conditions de service par produit	Conforme
Types de données et catégories de personnes	Décrits dans les annexes au DPA (varient selon le module)	Conforme
Instructions documentées du responsable	Traitement sur instructions documentées	Conforme
Confidentialité du personnel	Engagement de confidentialité pour le personnel Sage	Conforme
Mesures de sécurité (Art. 32)	Mesures techniques et organisationnelles détaillées dans l’annexe sécurité	Conforme
Sous-traitants ultérieurs	Liste publiée avec mécanisme de notification	Conforme
Assistance pour les droits des personnes	Engagement d’assistance dans le DPA	Conforme
Suppression ou restitution en fin de contrat	Suppression ou restitution des données après résiliation	Conforme
Droit d’audit	Prévu dans le DPA (via rapports SOC 2, ISO 27001 et possibilité d’audit)	Conforme
Information en cas d’instruction contrevenant au RGPD	Prévu dans le DPA	Conforme

Le DPA de Sage est un document mature, ce qui n’est pas surprenant pour un éditeur historique fortement implanté en Europe. Les annexes détaillent les catégories de données par module, ce qui permet une documentation fine dans le registre des traitements. Le point de vigilance concerne les versions anciennes de Sage (Sage 50, Sage 100) pour lesquelles la couverture contractuelle peut varier selon la nature de la prestation (licence on-premise avec ou sans services cloud associés).

Transferts internationaux et analyse d’impact sur les transferts (TIA)

Le cas particulier du Royaume-Uni post-Brexit

Sage Group plc est une société britannique. Depuis le Brexit, le Royaume-Uni est un pays tiers au regard du RGPD européen. Cependant, la Commission européenne a adopté le 28 juin 2021 une décision d’adéquation reconnaissant que le Royaume-Uni assure un niveau de protection des données essentiellement équivalent à celui de l’UE.

Cette décision d’adéquation simplifie considérablement les transferts de données vers le Royaume-Uni : aucune garantie supplémentaire n’est requise tant que la décision est en vigueur. Toutefois, deux éléments méritent attention :

1. La décision d’adéquation est révisable. Elle est soumise à une clause de caducité et à des révisions périodiques par la Commission. Un changement dans la législation britannique sur la surveillance ou la protection des données pourrait conduire à sa révocation.

2. Les sous-traitants ultérieurs de Sage ne sont pas tous au Royaume-Uni. Sage fait appel à des prestataires d’infrastructure (AWS, Microsoft Azure) dont les centres de données peuvent se situer dans l’UE ou ailleurs.

Hébergement des données

Sage propose des centres de données européens pour ses produits cloud. Pour les clients français utilisant Sage Business Cloud, les données sont généralement hébergées dans l’UE. Il est néanmoins essentiel de vérifier la localisation exacte des données dans votre contrat, car elle peut varier selon le produit et le plan souscrit.

Conduite de la TIA

Les éléments à évaluer pour votre TIA :

• Cadre juridique britannique. Le UK GDPR et l’Investigatory Powers Act 2016. La décision d’adéquation de la Commission a considéré que ce cadre offrait des garanties suffisantes, y compris en matière de surveillance gouvernementale.
• Nature des données. Sage traite des données financières et salariales hautement sensibles : coordonnées bancaires, numéros de sécurité sociale, salaires, situations familiales. La sensibilité est élevée.
• Mesures supplémentaires. Chiffrement en transit et au repos. Hébergement UE privilégié. Les CCT de Sage fournissent un mécanisme de secours en cas de révocation de la décision d’adéquation.

Sécurité informatique

Sage a investi significativement dans la sécurité de ses produits cloud ces dernières années, en réponse aux exigences croissantes de ses clients entreprises et des cabinets comptables.

Certifications et audits

• ISO 27001 – certification du système de management de la sécurité de l’information
• SOC 2 Type II – audit indépendant des contrôles de sécurité, de disponibilité et de confidentialité

Mesures techniques

• Chiffrement en transit : TLS 1.2+ pour toutes les communications
• Chiffrement au repos : AES-256 pour les données stockées
• Authentification : support de l’authentification multi-facteurs (MFA), SSO via SAML 2.0 sur les offres Enterprise
• Gestion des accès : contrôle d’accès basé sur les rôles (RBAC) avec granularité par module et par société
• Journalisation : journal d’audit des actions critiques (modifications comptables, accès aux bulletins de paie)
• Sauvegardes : sauvegardes automatisées avec chiffrement

Mesures organisationnelles

• Programme de gestion des vulnérabilités
• Tests de pénétration réguliers
• Équipe de sécurité dédiée (Sage Security Operations Center)
• Notification des incidents de sécurité conformément au DPA et au RGPD

Le niveau de sécurité de Sage est adapté à la criticité des données traitées. La gestion de données comptables et salariales exige un niveau de protection supérieur à celui d’un simple outil de collaboration, et Sage répond à cette exigence de manière satisfaisante. Le point à vérifier concerne les versions on-premise : la sécurité dépend alors entièrement de votre infrastructure locale.

Configuration recommandée pour la conformité RGPD

1. Signer et archiver le DPA. Pour les produits cloud, vérifiez que le DPA est signé et couvre l’ensemble des modules utilisés (comptabilité, paie, facturation, CRM). Conservez une copie datée dans votre documentation RGPD.

2. Vérifier l’hébergement des données. Confirmez contractuellement que vos données sont hébergées dans l’UE. Si certaines données transitent par le Royaume-Uni, documentez ce transfert et la base légale applicable (décision d’adéquation).

3. Activer l’authentification multi-facteurs. Rendez le MFA obligatoire pour tous les utilisateurs, en particulier ceux ayant accès au module Paie et aux coordonnées bancaires. Privilégiez le SSO si votre offre le permet.

4. Configurer les droits d’accès par module. Sage permet une granularité fine des droits d’accès. Le comptable n’a pas besoin d’accéder au module Paie, le gestionnaire de paie n’a pas besoin d’accéder à la comptabilité générale. Appliquez le principe du moindre privilège de manière stricte.

5. Documenter chaque module dans le registre des traitements. Chaque module Sage utilisé constitue un traitement distinct : Sage Comptabilité, Sage Paie, Sage Facturation. Documentez pour chaque module les catégories de données, les catégories de personnes concernées, les finalités, la base légale et la durée de conservation.

6. Configurer les durées de conservation. Les obligations légales de conservation comptable (10 ans pour les pièces comptables, 5 ans pour les bulletins de paie) s’appliquent. Configurez les politiques de rétention en conséquence et prévoyez la purge des données au-delà des durées légales.

7. Sécuriser les données de paie. Les données traitées par Sage Paie sont parmi les plus sensibles : numéros de sécurité sociale, salaires, situations familiales, arrêts maladie. Restreignez l’accès au module Paie aux seules personnes habilitées. Activez la journalisation de tous les accès.

8. Mettre à jour la documentation interne. Intégrez Sage dans votre registre des traitements, votre politique de confidentialité interne et votre cartographie des flux de données. Mentionnez les transferts vers le Royaume-Uni le cas échéant.

9. Préparer les procédures de réponse aux droits. Prévoyez comment extraire les données d’un employé (droit d’accès, art. 15) ou d’un client (droit d’effacement, art. 17) depuis Sage. Les fonctionnalités d’export de Sage permettent d’extraire les fiches de paie, les écritures comptables et les fiches clients.

10. Anticiper la facturation électronique. Sage est candidat comme plateforme de dématérialisation partenaire (PDP) dans le cadre de la facturation électronique obligatoire. Si vous utilisez Sage pour la facturation, anticipez les implications RGPD de ce nouveau flux de données.

Points d’attention spécifiques

Les données de paie : un traitement à haut risque

Sage Paie traite des données qui se rapprochent des données traitées par les outils RH les plus sensibles : numéros de sécurité sociale, salaires nets et bruts, cotisations, mutuelles, arrêts maladie, situations familiales. Ces données sont d’une sensibilité extrême pour les personnes concernées. Une fuite de bulletins de salaire peut avoir des conséquences graves sur la vie privée des employés.

Le responsable de traitement doit s’assurer que l’accès au module Paie est strictement restreint, que les exports de données sont tracés, et qu’une analyse d’impact est réalisée si le traitement porte sur un grand nombre de salariés. Si la paie est gérée par un outil dédié comme PayFit ou Silae, les flux de données entre paie et comptabilité doivent être documentés dans votre registre.

La transition cloud : un changement de paradigme juridique

De nombreuses entreprises françaises migrent progressivement de Sage 50 ou Sage 100 on-premise vers Sage Business Cloud. Cette migration change fondamentalement la qualification juridique : Sage passe du statut de simple fournisseur de logiciel à celui de sous-traitant au sens de l’article 28. La migration doit donc être accompagnée de la signature d’un DPA, de la mise à jour du registre des traitements, et d’une vérification des mesures de sécurité de l’hébergement cloud.

Sage et la facturation électronique obligatoire

À compter de 2026, la facturation électronique devient obligatoire pour les entreprises françaises. Sage, en tant que candidat PDP, traitera des données personnelles contenues dans les factures (noms, adresses, SIRET) dans un cadre réglementaire nouveau. Les obligations de sous-traitance RGPD s’ajouteront aux obligations fiscales, ce qui imposera une documentation contractuelle renforcée.

FAQ

Sage est-il conforme au RGPD ?

Sage fournit les éléments contractuels et techniques nécessaires à une utilisation conforme : DPA par module, hébergement UE, certifications ISO 27001 et SOC 2, chiffrement des données, gestion granulaire des accès. La conformité effective dépend de votre configuration : activation du MFA, paramétrage des droits d’accès, documentation des traitements dans le registre. Pour les produits cloud, la couverture RGPD est solide. Pour les produits on-premise, la responsabilité de la sécurité repose principalement sur votre infrastructure.

Les transferts de données vers le Royaume-Uni sont-ils légaux ?

Oui, dans le cadre actuel. La décision d’adéquation de la Commission européenne de juin 2021 autorise les transferts de données vers le Royaume-Uni sans garantie supplémentaire. Cette décision est toutefois révisable. Sage intègre également des clauses contractuelles types (CCT) dans son DPA comme mécanisme de secours. Il est recommandé de documenter ces transferts dans votre registre et de suivre l’évolution de la décision d’adéquation.

Faut-il réaliser une AIPD pour Sage Paie ?

Une analyse d’impact est fortement recommandée pour Sage Paie, en particulier si vous traitez les données de paie d’un grand nombre de salariés. Le traitement systématique de numéros de sécurité sociale, de données de santé (arrêts maladie) et de données financières (salaires, coordonnées bancaires) à grande échelle remplit plusieurs des critères posés par la CNIL pour l’obligation de réaliser une AIPD. Pour les PME avec un effectif réduit, l’AIPD n’est pas formellement obligatoire mais reste une bonne pratique.

Comment gérer la migration de Sage on-premise vers le cloud ?

La migration vers Sage Business Cloud nécessite plusieurs actions RGPD : signature du DPA avec Sage, mise à jour du registre des traitements pour refléter le changement de nature du traitement (de local à hébergé), vérification de la localisation des données (hébergement UE), activation des mesures de sécurité cloud (MFA, SSO, gestion des accès). Prévoyez également la suppression sécurisée des données de l’ancienne installation on-premise une fois la migration validée.