Vous pouvez poser des capteurs sur presque n’importe quoi, presque n’importe où. La partie technique d’un projet IoT est rarement ce qui fait échouer une affaire. Vous construisez la passerelle, câblez les dashboards, prouvez le cas d’usage lors d’un pilote, et tout le monde est content.
Mais vendre à des acheteurs européens du privé et du secteur public, c’est devoir prouver comment les données sont gérées, et c’est là que les affaires s’enlisent. Le service achats envoie un questionnaire de sécurité. Le juridique demande qui est le responsable du traitement. Quelqu’un veut savoir où les données résident physiquement, et si votre plateforme est certifiée. Si vous n’avez pas de réponses nettes, le projet reste en suspens pendant que tout le monde attend un document que vous n’avez pas.
Voici donc la carte de conformité dont un intégrateur ou un prestataire de services managés a réellement besoin pour vendre des services IoT en Europe, et comment le choix de la bonne plateforme raccourcit le chemin. Tout au long, je vais garder deux choses bien distinctes : ce que vous, en tant que vendeur, devez détenir ou faire, et ce que votre fournisseur de plateforme peut vous apporter. Ce n’est pas la même chose, et confondre les deux est exactement la façon dont on se fait piéger lors d’une revue achats.
Une remarque rapide avant de commencer : ce qui suit est une orientation générale, pas un conseil juridique. Servez-vous-en pour vous repérer, puis confirmez les détails avec votre propre conseil.
RGPD : la question que tout acheteur européen pose en premier
Le RGPD encadre les données personnelles dans l’UE et au Royaume-Uni. Si votre solution IoT touche à quoi que ce soit qui permet d’identifier une personne, le RGPD s’applique. Et cela couvre plus de cas que vous ne le pensez. Un déploiement en bâtiment intelligent qui enregistre quel badge est entré dans quelle pièce, un système de flotte qui suit les conducteurs, un capteur d’occupation rattaché à des postes de travail nominatifs : tout cela peut impliquer des données personnelles.
La première chose que les acheteurs cherchent à comprendre, ce sont les rôles. Le RGPD répartit la responsabilité entre le responsable du traitement et le sous-traitant. Le responsable du traitement décide pourquoi et comment les données personnelles sont traitées. Le sous-traitant agit sur instruction du responsable du traitement. Dans une affaire type de services IoT, votre client est en général le responsable du traitement, vous pouvez être sous-traitant, et votre fournisseur de plateforme peut être un sous-traitant ultérieur en dessous de vous. Bien établir cette chaîne compte, car chaque maillon a ses obligations.
Ce que vous, en tant que vendeur, devez faire
Un accord de traitement des données (DPA) est généralement exigé entre les parties. Si vous traitez des données personnelles pour le compte de votre client, attendez-vous à signer un DPA avec lui, et à en avoir un en place avec chaque fournisseur sur lequel vous vous appuyez. Vous êtes responsable de comprendre le flux de données dans votre propre solution et d’être capable de le décrire clairement.
Certains clients tiennent aussi à la résidence des données. Ils veulent que les données personnelles restent dans l’UE, point final. C’est courant dans les secteurs réglementés et partout dans le secteur public. Si vous ne pouvez pas dire à un acheteur où ses données sont stockées, vous perdrez du temps, et parfois l’affaire.
Ce que votre fournisseur de plateforme peut apporter
Une plateforme alignée sur le RGPD vous donne une longueur d’avance. Si votre fournisseur de plateforme accepte de signer un DPA avec vous et peut confirmer la résidence des données dans l’UE, vous héritez d’une bonne part des preuves que vous auriez sinon à rassembler seul. TagoIO est aligné sur le RGPD et propose des serveurs européens dédiés en Irlande, sélectionnables à l’inscription, ce qui prend en charge la résidence des données dans l’UE. Cela signifie que lorsqu’un acheteur demande où résident les données, vous avez une réponse concrète plutôt qu’un peut-être.
Ce que le fournisseur ne peut pas faire, c’est reprendre vos propres obligations. Vous avez toujours besoin de votre propre DPA avec votre client, et vous devez toujours gérer correctement les données dont vous avez la charge. La plateforme raccourcit le chemin. Elle ne le parcourt pas à votre place.
ISO 27001 : la vôtre face à celle de votre fournisseur
ISO 27001 est la certification de gestion de la sécurité de l’information que les acheteurs européens demandent couramment. Quand un questionnaire achats demande si vous êtes certifié, c’est généralement celle-là qu’ils visent.
Voici la distinction qui fait trébucher les gens. Il y a deux questions distinctes :
- Votre propre organisation est-elle certifiée ISO 27001 ?
- La plateforme sur laquelle vous construisez est-elle certifiée ?
Ce sont deux choses différentes, et les acheteurs peuvent interroger sur les deux. Une grande entreprise ou un organisme public peut exiger que son fournisseur direct (vous) détienne l’ISO 27001. Vous faire certifier vous-même est un vrai projet : cela demande du temps, un audit, et un système de management continu. Cela vous incombe, et aucun fournisseur ne peut vous l’offrir clés en main.
Mais construire sur une plateforme certifiée aide. Si votre fournisseur de plateforme est certifié ISO 27001, vous pouvez le mettre en avant pour la partie de la pile que vous n’exploitez pas vous-même, et cela réduit les preuves de sécurité que vous devez produire sur l’infrastructure sous-jacente. TagoIO est certifié ISO 27001, si bien que la couche plateforme de votre solution repose sur une base certifiée. Cela ne fait pas de vous une organisation certifiée. Cela veut dire qu’une partie de votre réponse est déjà écrite, et que vous pouvez concentrer votre propre effort de certification sur les parties que vous exploitez réellement.
Marquage CE et RED : le volet matériel
Si votre solution comprend du matériel vendu dans l’UE, il existe une voie distincte qui n’a rien à voir avec votre plateforme logicielle. Le matériel vendu dans l’UE doit en général porter le marquage CE. Les appareils radio, ce qui couvre la plupart des équipements IoT sans fil, relèvent de la directive sur les équipements radio (RED).
Restons au bon niveau : le marquage CE et la conformité RED relèvent en général de la responsabilité du fabricant de l’appareil, pas de l’intégrateur qui le déploie. Si vous achetez du matériel certifié sur étagère, votre travail consiste à confirmer que les appareils que vous livrez sont correctement marqués et conformes. Si vous concevez ou rebadgez du matériel vous-même, vous en prenez une plus grande part directement à votre charge. Dans tous les cas, un fournisseur de plateforme ne peut pas apposer le marquage CE sur vos appareils à votre place. C’est une obligation matérielle qui incombe à celui qui met le produit sur le marché.
Questionnaires sectoriels et du secteur public
Au-delà des règles transversales, certains secteurs et acheteurs publics ajoutent leurs propres exigences. Les questionnaires de sécurité achats sont monnaie courante. Attendez-vous à des questions sur les règles de gestion des données, les contrôles d’accès, les procédures en cas de violation, les sous-traitants ultérieurs, et l’endroit où les données sont stockées. La santé, l’énergie, les transports et l’administration portent chacun des attentes supplémentaires qui s’ajoutent au RGPD.
Le schéma est le même que partout ci-dessus. Certaines réponses concernent votre organisation et vos processus, qui vous appartiennent. D’autres réponses concernent la plateforme en dessous de vous, que votre fournisseur peut fournir. Un fournisseur qui publie ses informations de confiance et de confidentialité accélère le remplissage de ces questionnaires, car les réponses sur la couche plateforme sont déjà documentées. La page de confiance de TagoIO existe précisément pour cette raison.
Une checklist de préparation
Avant de démarcher un acheteur européen, passez en revue ceci :
- Cartographiez votre flux de données. Sachez à quelles données personnelles votre solution touche et où elles vont. Si vous ne pouvez pas le dessiner, vous ne pouvez pas le défendre.
- Confirmez votre rôle RGPD. Êtes-vous sous-traitant pour ce client ? Responsable du traitement ? Qui est le sous-traitant ultérieur ? Mettez-le par écrit.
- Mettez vos DPA en ordre. Un avec votre client là où c’est nécessaire, et un avec chaque fournisseur sur lequel vous vous appuyez.
- Tranchez sur la résidence des données. Si l’acheteur a besoin d’une résidence dans l’UE, confirmez que votre plateforme la prend en charge avant de promettre quoi que ce soit.
- Connaissez votre statut ISO 27001. Le vôtre comme celui de votre fournisseur de plateforme. Soyez honnête sur ce qui est quoi.
- Vérifiez la conformité du matériel. Confirmez le marquage CE et la conformité RED de tout appareil que vous livrez.
- Pré-remplissez le questionnaire. Rassemblez dès maintenant les documents de confiance et de certification de votre fournisseur, pas au moment où le service achats attend.
Là où la plateforme aide vraiment
Pour être clair sur la répartition : le fournisseur de plateforme ne peut pas vous rendre conforme au RGPD, ne peut pas certifier votre organisation, et ne peut pas apposer le marquage CE sur votre matériel. Ces points sont à vous.
Ce que la bonne plateforme fait, c’est raccourcir le chemin. Construire sur une base certifiée ISO 27001, alignée sur le RGPD et capable de garder les données dans l’UE signifie qu’une grande partie de vos preuves de conformité est déjà produite par quelqu’un d’autre. Vous héritez des certifications de la couche plateforme, vous disposez d’un fournisseur qui acceptera de signer un DPA, et vous pouvez répondre à la question de la résidence des données dès le premier jour. Cela transforme des semaines de course effrénée en une conversation pour laquelle vous êtes prêt.
Ce n’est pas un raccourci pour contourner vos obligations. C’est la différence entre rassembler chaque pièce de preuve à partir de zéro et ne rassembler que les pièces qui vous reviennent vraiment.
En bref
Vendre de l’IoT en Europe tient moins aux capteurs qu’à la preuve que vous gérez les données de manière responsable. La carte est la suivante : rôles RGPD et DPA, résidence des données, ISO 27001 pour vous comme pour votre fournisseur, CE et RED pour le matériel, et questionnaires sectoriels par-dessus. Gardez clair ce que vous devez détenir face à ce que votre plateforme fournit. Choisissez une plateforme certifiée, alignée sur le RGPD et offrant la résidence des données dans l’UE, et vous passerez moins de temps bloqué aux achats et plus de temps à livrer.
Et encore une fois, parce que cela compte : ce qui précède est une orientation générale, pas un conseil juridique. Confirmez les détails avec votre propre conseil avant de signer quoi que ce soit.
