8 critères objectifs, 5 questions discriminantes, et 4 pièges classiques. Une méthodologie d'évaluation rationnelle pour ne pas se tromper de partenaire.
Choisir un outil RGPD est une décision qu'on prend une fois tous les 3 à 5 ans. C'est une décision dont les conséquences sont longues à corriger : migration de données, formation des équipes, réécriture des procédures internes, négociation contractuelle. Se tromper, c'est perdre 6 à 12 mois et plusieurs milliers d'euros. Pourtant, la plupart des décisions sont prises sur des éléments superficiels : l'esthétique du site, la promesse commerciale, le prix vitrine, la notoriété de la marque.
Cette page propose une grille de lecture indépendante. Elle a été rédigée par un éditeur d'outil RGPD (Dativo) qui assume sa position : nous pensons que notre approche est meilleure pour 90 % des TPE/PME et expert-comptables, et nous vous donnons les critères qui permettent de le vérifier objectivement, pas de nous croire sur parole.
Si après avoir lu ce guide vous concluez qu'un autre outil correspond mieux à votre contexte, c'est très bien : vous aurez pris une décision éclairée. Si vous concluez que Dativo est le bon choix, vous l'aurez fait pour les bonnes raisons.
Une grille à appliquer à chaque candidat, sans exception.
Hébergement strict en UE chez un acteur non soumis au Cloud Act. OVH, Scaleway, Outscale. Pas AWS, Azure ni GCP même en région européenne.
Tout inclus : licence, onboarding, formation, options. Pas le prix vitrine. Multipliez par 3 ans pour avoir le coût réel d'engagement.
Combien de temps pour qu'un dirigeant non-juriste soit autonome ? 1 heure ? 1 journée ? 1 semaine ? Plus c'est long, plus l'outil est mal conçu.
DPO certifié humain, juriste, technicien ou chatbot ? Délai de réponse moyen contractuel ? Inclus ou facturé en plus ?
Chiffrement AES-256, isolation des bases par client, hashing Argon2ID/bcrypt, MFA obligatoire pour les admins, audit SOC2 ou équivalent.
Format d'export ouvert (CSV/JSON/PDF), absence de pénalité de sortie, contrat mensuel résiliable. Refusez tout vendor lock-in.
Incluse dans le prix ou facturée séparément ? Optionnelle ou obligatoire ? Une formation obligatoire à 3 000 € est un signal d'alarme.
Connecteurs avec votre CRM, votre RH, votre helpdesk, votre ERP. Inutile pour une TPE, indispensable au-delà de 50 salariés.
Une licence à 1 200 €/an qui devient 8 000 €/an une fois qu'on ajoute l'onboarding obligatoire (3 000 €), la formation utilisateurs (1 500 €), le support premium (2 000 €) et les modules dits « avancés » (l'AIPD, le portail des droits). Demandez systématiquement un devis à 3 ans tout inclus, pas un prix de licence.
L'engagement annuel reconductible tacitement avec préavis de 90 jours est l'arme la plus efficace des éditeurs historiques. Vous découvrez en mars que vous voulez changer ? Trop tard, vous êtes engagé jusqu'à décembre suivant. Privilégiez systématiquement le mensuel sans engagement.
Un outil dont l'éditeur a son siège en France mais qui héberge ses données chez AWS Frankfurt n'est pas souverain au sens Schrems II. Le Cloud Act s'applique au prestataire, pas à la localisation physique du datacenter. Vérifiez systématiquement l'identité juridique de l'hébergeur, pas seulement la zone géographique.
L'outil ne propose pas de module AIPD ? Pas de gestion des sous-traitants ? Pas d'export de preuve ? Ce sont des composants obligatoires d'un outil RGPD professionnel. Si l'éditeur les facture en option ou les renvoie à une « roadmap future », passez votre chemin : vous achetez un produit incomplet à plein tarif.
À vérifier point par point, sans complaisance.
Hébergement OVH France exclusif. Aucune dépendance américaine. Société Dativo SASU immatriculée en France.
229 € à 969 €/an tout compris. Aucune option, aucun module bonus, aucune formation facturée. Coût à 3 ans : 687 € à 2 907 €.
Onboarding autonome via tutoriel guidé. Aucun rendez-vous obligatoire. Aucune formation payante.
Réponses sous 24 h ouvrées par un DPO certifié. Inclus dans tous les forfaits. Pas de support premium à 2 000 €/an.
AES-256, base de données isolée par client, Argon2ID, MFA admin, sauvegardes chiffrées quotidiennes.
Export complet en CSV/JSON/PDF en 1 clic. Contrat mensuel sans engagement. Aucune pénalité de sortie.
Sur demande, nous fournissons un devis détaillé sur 3 ans avec tous les postes ventilés.
14 jours d'essai complet sans carte bancaire. Vous testez tout avant de décider.
Vos données sont exportables en 1 clic, dès le premier jour, sans frais.
Si Dativo n'est pas adapté à votre cas, on vous le dit et on vous oriente vers le bon outil.
Huit critères structurent une évaluation rationnelle : 1) souveraineté des données (hébergement UE strict), 2) prix total annuel TTC tout compris, 3) délai de prise en main par un utilisateur non-juriste, 4) qualité du support humain (DPO certifié vs chatbot), 5) sécurité technique (chiffrement, isolation des bases), 6) absence de vendor lock-in (export complet possible), 7) formation incluse ou facturée, 8) intégrations avec votre stack existante (CRM, RH, helpdesk).
Cinq questions discriminantes : 1) Où sont physiquement hébergées mes données et qui peut y accéder ? 2) Combien va vraiment me coûter l'outil dans 3 ans, formations et options incluses ? 3) Si je veux partir, sous quel format puis-je récupérer l'intégralité de mes données ? 4) Quel est le délai de réponse moyen du support et qui répond (juriste, DPO, technicien) ? 5) L'engagement est-il annuel ou mensuel ? Les réponses à ces questions éliminent 80 % des candidats au premier tour.
Le marché présente trois zones de prix très différentes. Les outils enterprise (Dastra, Witik, Data Legal Drive, OneTrust) facturent entre 5 000 et 50 000 €/an, avec un onboarding payant de 2 000 à 10 000 € en plus, et un engagement contractuel annuel. Les outils mid-market se situent entre 1 500 et 5 000 €/an. Les outils SMB modernes comme Dativo cassent ce modèle avec un tarif de 229 à 969 €/an, sans frais d'installation, sans engagement annuel obligatoire.
Le vendor lock-in se manifeste par trois mécanismes : un format d'export propriétaire qui rend les données inutilisables ailleurs, des contrats annuels avec pénalités de sortie, et une dépendance technique aux intégrations de l'éditeur. Pour s'en prémunir : exiger un export en format ouvert (CSV, JSON, PDF), refuser tout engagement contractuel supérieur à 1 mois, et privilégier les outils dont le périmètre fonctionnel ne dépasse pas le RGPD strict (les modules « bonus » créent de l'enfermement).
Pas pour des raisons patriotiques, mais pour des raisons juridiques précises. Depuis l'arrêt Schrems II (2020), les transferts de données vers les États-Unis présentent un risque juridique : le Cloud Act et la FISA 702 permettent à l'administration américaine d'accéder aux données hébergées par une entreprise US, même si ces données sont physiquement dans un datacenter européen. Un éditeur strictement européen, hébergé chez un acteur souverain (OVH, Scaleway, Outscale), élimine ce risque par construction.
14 jours d'essai complet. Aucune carte bancaire. Aucune démo commerciale obligatoire. Vous testez, vous évaluez, vous décidez.
Démarrer mon essai →