GOLIVE
Retour au blog
Developpement Offshore

Offshore et RGPD : vos données sont-elles vraiment en sécurité avec une équipe au Vietnam ?

Le RGPD n'interdit pas l'offshore. Mais sans clauses contractuelles types, chiffrement et cession de PI, vous jouez avec le feu. Voici comment sécuriser un prestataire au Vietnam.

13 juin 2026 9 min de lecturePar Vincent Roye
RGPD, transfert de données hors UE, propriété du code : les clauses et mesures techniques pour externaliser en toute conformité avec une équipe offshore au Vietnam.

Vous avez trouvé l'équipe offshore idéale au Vietnam. Les TJM sont compétitifs, les profils techniques solides, le premier sprint se passe bien. Puis votre DPO pose la question qui refroidit tout le monde : « Et le RGPD, on en fait quoi ? »

C'est l'objection B2B la plus fréquente que je rencontre chez les CTO et heads of engineering français. Elle est légitime. Mais dans 90 % des cas, ce n'est pas le RGPD qui bloque : c'est le manque de structuration contractuelle et technique. Le règlement européen n'a jamais interdit l'externalisation hors UE. Il exige un cadre. Je vais vous montrer exactement lequel.

  • ⚖️ RGPD compatible : le règlement autorise l'offshore si un cadre contractuel (SCC) existe.
  • 🔒 Mesures techniques : chiffrement, accès cloisonnés et audits réguliers sont obligatoires.
  • 📝 PI cédée au client : la cession du code et la NDA doivent figurer dans le contrat.
  • 🇻🇳 Vietnam renforcé : le pays a durci sa protection de la propriété intellectuelle en 2026.

Le RGPD interdit-il vraiment l'offshore ?

La réponse courte : non. Le RGPD (Règlement Général sur la Protection des Données, applicable depuis le 25 mai 2018) ne dit nulle part « vous ne pouvez pas externaliser hors d'Europe ». Ce qu'il dit, c'est que le responsable de traitement reste responsable, même quand un tiers traite les données pour son compte.

Selon la CNIL, toute entreprise européenne qui recourt à un sous-traitant hors UE doit s'assurer que le niveau de protection des données est « essentiellement équivalent » à celui garanti par le droit européen. Le prestataire offshore n'échappe pas aux règles : il les applique dans le cadre fixé par le contrat.

Pourquoi confond-on souvent offshore et risque RGPD ?

La confusion vient d'un raccourci. Beaucoup de décideurs B2B pensent que tout transfert de données hors UE est interdit. C'est faux. Le RGPD prévoit explicitement des mécanismes pour encadrer ces transferts : décisions d'adéquation de la Commission européenne, clauses contractuelles types (SCC), ou règles d'entreprise contraignantes (BCR).

Le Vietnam ne bénéficie pas d'une décision d'adéquation (contrairement au Japon ou à la Corée du Sud). Cela signifie qu'il faut un cadre supplémentaire, pas que c'est impossible. Selon le guide publié par advancia-teleservices.com, le prestataire est tenu de respecter les obligations RGPD dès que le contrat inclut les garanties appropriées.

L'offshore mal encadré est risqué. L'offshore structuré est conforme.

Quelles sanctions en cas de non-conformité ?

Les chiffres sont clairs : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial, selon le montant le plus élevé. En 2025, la CNIL a prononcé 87 sanctions pour un total de 55 millions d'euros. Le sujet n'est pas théorique : les contrôles portent de plus en plus sur les sous-traitants extra-européens, y compris dans le développement logiciel.

Transfert de données hors UE : les garanties concrètes

Quand vous externalisez du développement au Vietnam, la question n'est pas « est-ce que des données vont transiter ? » mais « quelles données, avec quelles protections ? ». Un projet de développement web ou mobile peut très bien fonctionner sans exposer de données personnelles aux équipes offshore.

Comment encadrer un transfert de données hors UE ?

Le mécanisme standard est le recours aux clauses contractuelles types (SCC) approuvées par la Commission européenne en juin 2021. Ces clauses s'intègrent directement dans le contrat de prestation. Elles définissent les obligations du sous-traitant (le prestataire offshore) et celles du responsable de traitement (votre entreprise).

D'après scalemycrew.com, la bonne pratique consiste à fournir un environnement de développement sans données utilisateurs réelles, créer des comptes de test sans accès aux informations sensibles, et restreindre les accès aux seuls éléments nécessaires à la mission.

Concrètement, voici les mesures techniques à mettre en place :

  • Chiffrement des données en transit (TLS 1.3) et au repos (AES-256)
  • Accès cloisonnés par environnement (dev, staging, production)
  • Journalisation des accès avec traçabilité complète
  • Audits réguliers (trimestriels minimum) des pratiques du prestataire
  • Pseudonymisation ou anonymisation des jeux de données de test
Mesure de sécurité Offshore non structuré Offshore structuré (SCC + mesures) Tendance
Clauses contractuelles types Absentes Intégrées au contrat ↑ obligatoire
Chiffrement données Partiel ou absent TLS 1.3 + AES-256 ↑ standard
Cloisonnement accès Un seul env partagé Dev / staging / prod séparés ↑ critique
Audit prestataire Jamais Trimestriel minimum ↑ exigé CNIL
Données de test Copie prod réelle Anonymisées / synthétiques ↑ bonne pratique

SOURCE : CNIL, Commission européenne (SCC juin 2021) · MAJ 06/2026

Si votre prestataire offshore ne peut pas cocher chacune de ces lignes, le problème n'est pas le pays : c'est le prestataire. Pour mieux comprendre comment structurer votre développement logiciel offshore au Vietnam, commencez par le cadre contractuel avant de parler technique.

Propriété intellectuelle et code source : qui possède quoi ?

C'est la deuxième grande objection. Vous payez 18 mois de développement, et à la fin du contrat, à qui appartient le code ? Sans clause explicite, la réponse peut vous surprendre.

Qui possède le code en offshore ?

En droit français, le principe est simple : sauf cession expresse, l'auteur du code conserve ses droits. Si votre contrat ne mentionne pas la cession de propriété intellectuelle, le prestataire offshore reste juridiquement propriétaire du code qu'il a produit pour vous.

Le Vietnam a renforcé sa législation sur la propriété intellectuelle en 2026, en alignant davantage son cadre sur les standards internationaux (Convention de Berne, accords ADPIC de l'OMC). Cela joue en faveur des clients européens : les clauses de cession de PI insérées dans un contrat de droit français sont reconnues et opposables.

Quelles clauses contractuelles sont indispensables ?

Voici les cinq clauses que je considère comme non négociables dans tout contrat de développement offshore :

  1. Cession intégrale de la PI : tout le code source, la documentation technique et les assets créés pendant la mission sont cédés au client, sans restriction de territoire ni de durée.

  2. NDA (accord de confidentialité) signé par chaque membre de l'équipe, pas seulement par l'entreprise prestataire.

  3. Clause de sécurité des données décrivant les mesures techniques (chiffrement, accès, journalisation) et les obligations de notification en cas d'incident.

  4. Règles de traitement conformes au RGPD (finalité, durée de conservation, sous-traitance ultérieure interdite sans accord préalable).

  5. Clause de réversibilité garantissant la restitution complète du code, des données et de la documentation en fin de mission, avec suppression certifiée côté prestataire.

Les ESN offshore structurées intègrent ces clauses dans leurs contrats standards. Celles qui refusent d'en discuter vous envoient un signal d'alerte clair.

Ce que je mets en place chez GoLive Software

Je gère une équipe de développeurs seniors au Vietnam depuis plusieurs années. La question du RGPD et de la PI n'est pas un sujet de FAQ pour moi : c'est un engagement contractuel que je prends avec chaque client.

Comment GoLive sécurise les données de ses clients ?

Chez GoLive Software, le code et la propriété intellectuelle sont cédés au client dès la signature du contrat. Chaque développeur de l'équipe signe un NDA individuel. Les accès sont cloisonnés par environnement : un dev qui travaille sur le front-end n'a pas accès à la base de données de production.

J'utilise des dépôts Git privés avec authentification à deux facteurs, des secrets managers pour les clés API, et les environnements de test fonctionnent avec des données synthétiques. Aucune donnée personnelle réelle ne transite sur les machines de l'équipe vietnamienne.

Ce n'est pas de la paranoïa. C'est le standard minimum pour travailler avec des clients qui traitent des données sensibles (SaaS B2B, fintech, healthtech). Et c'est précisément ce cadre qui rend l'offshore au Vietnam plus sûr qu'un freelance local sans contrat structuré.

« Le risque n'est jamais le pays. C'est l'absence de cadre contractuel et technique. »

Vincent Roye, juin 2026

Comment vérifier la fiabilité d'un prestataire offshore ?

Avant de signer, posez ces cinq questions à votre futur prestataire :

  1. Montrez-moi votre modèle de NDA et vos clauses de cession de PI.
  2. Comment cloisonnez-vous les accès entre dev, staging et production ?
  3. Quelles certifications de sécurité avez-vous (ISO 27001, SOC 2) ?
  4. Comment gérez-vous la suppression des données en fin de contrat ?
  5. Acceptez-vous des audits de sécurité réguliers par un tiers ?

Un prestataire qui répond clairement à ces cinq points est un prestataire structuré. Ceux que vous devez éviter en 2026 sont ceux qui éludent la question ou vous renvoient vers un document générique.

Le vrai risque, ce n'est pas le Vietnam

Après huit ans à piloter des équipes offshore, j'ai une conviction ferme : le pays d'implantation du prestataire est un faux problème. J'ai vu des agences parisiennes sans NDA, des freelances européens qui commitent des secrets en clair sur GitHub public, et des SSII françaises incapables de fournir un registre des traitements.

Le marché mondial de l'externalisation IT devrait atteindre 591 milliards de dollars en 2025 selon Statista, avec un TCAC de 8,28 % jusqu'en 2029. Cette croissance rend la question de la conformité encore plus urgente. Les entreprises qui structurent leur offshore aujourd'hui prennent une longueur d'avance.

Mon modèle est simple : Vietnam + développeurs seniors + IA + cadre contractuel solide. Le RGPD ne freine pas cette équation. Il la valide, à condition de jouer le jeu des SCC, du chiffrement et de la cession de PI.

Si vous êtes CTO ou head of engineering et que le RGPD est votre dernier frein pour externaliser, posez les bonnes questions au bon prestataire. La réponse vous surprendra : un offshore bien structuré protège mieux vos données qu'un prestataire local qui n'a jamais ouvert le texte du règlement.

Foire aux questions

L'offshore est-il compatible avec le RGPD ?

Oui. Le RGPD n'interdit pas le traitement de données hors UE. Il impose un cadre : clauses contractuelles types (SCC), mesures techniques (chiffrement, cloisonnement des accès) et documentation des traitements. Un prestataire offshore structuré peut être pleinement conforme.

Comment encadrer un transfert de données hors UE ?

Le mécanisme principal est l'intégration de clauses contractuelles types (SCC) approuvées par la Commission européenne dans le contrat de prestation. Ces clauses définissent les obligations du sous-traitant et les droits du responsable de traitement. Elles doivent être complétées par des mesures techniques concrètes : chiffrement AES-256, accès restreints par environnement, journalisation et audits trimestriels.

Qui possède le code source dans un contrat offshore ?

Sans clause de cession explicite, le prestataire reste propriétaire du code en droit français. Le contrat doit prévoir une cession intégrale de la propriété intellectuelle au client, sans restriction de durée ni de territoire. Chez GoLive Software, cette cession est intégrée dès la signature du contrat.

Quelles clauses contractuelles sont indispensables avec un prestataire offshore ?

Cinq clauses sont non négociables : cession intégrale de la PI, NDA individuel pour chaque membre de l'équipe, clause de sécurité des données avec mesures techniques détaillées, règles de traitement conformes au RGPD, et clause de réversibilité pour la restitution du code en fin de mission.

Comment vérifier qu'un prestataire au Vietnam respecte le RGPD ?

Demandez à voir le modèle de NDA et les clauses de cession de PI, vérifiez le cloisonnement des accès entre environnements, interrogez sur les certifications (ISO 27001, SOC 2), exigez un protocole de suppression des données en fin de contrat, et prévoyez des audits de sécurité par un tiers. Un prestataire qui répond sans détour à ces questions est un prestataire fiable.

Vidéos YouTube

Articles & ressources

Vincent Roye
Vincent Roye
CEO & Fondateur, GoLive Software

Ingénieur français basé au Vietnam depuis 2014. Il supervise une équipe de développeurs seniors full-stack et accompagne des startups et PME dans la structuration de leur équipe tech depuis plus de 11 ans.

Autres articles

Régie ou forfait pour externaliser au Vietnam : le calcul que personne ne vous montre

Régie ou forfait pour votre projet offshore au Vietnam ? J'ai posé les vrais chiffres côte à côte : coût mensuel, marge de sécurité, risques cachés. Voici le calcul complet.

Lire →

Livrer un MVP en 2026 : combien de jours avec une équipe offshore augmentée à l'IA ?

Un MVP livrable en 20 à 40 jours avec une équipe offshore augmentée par l'IA, c'est réaliste. Voici les variables qui font la différence entre un prototype jetable et un vrai produit.

Lire →

Logiciel sur mesure : le vrai prix en 2026 (et pourquoi je le fais développer au Vietnam)

Un logiciel sur mesure coûte entre 5 000 € et 250 000 € selon la complexité. Voici les vrais chiffres, les coûts cachés et pourquoi une équipe Vietnam senior divise la facture par deux.

Lire →