Qu’est-ce qu’un PaaS souverain single-tenant ?

Un modèle d’hébergement où chaque client possède son propre serveur (VPS) et sa propre base de données, tout en bénéficiant d’un code source partagé (le “core”). Contrairement au SaaS multi-tenant, les données ne sont jamais mélangées.

Quelle est la différence entre single-tenant et multi-tenant ?

En multi-tenant, tous les clients partagent la même base de données avec un identifiant client_id . En single-tenant, chaque client a sa propre base isolée. Le single-tenant élimine structurellement le risque de fuite de données inter-clients.

Pourquoi ne pas utiliser un SaaS comme Shopify ou BigCommerce ?

Ces plateformes sont multi-tenant par design. Vous n’avez pas de contrôle sur votre infrastructure, vos données vivent sur leurs serveurs, et vous êtes soumis à leurs limitations techniques et tarifaires. Le PaaS souverain vous donne le contrôle total.

Comment fonctionne l’EventBus dans cette architecture ?

C’est un bus d’événements in-memory basé sur le EventEmitter de Node.js. Quand un événement métier se produit (demande de devis, commande), il est publié et tous les handlers enregistrés s’exécutent en parallèle sans se bloquer mutuellement.

Pourquoi un EventBus local plutôt que Redis ou RabbitMQ ?

Parce que chaque VPS est isolé. Un bus local suffit amplement pour une instance single-tenant. Si un client atteint un volume qui nécessite une file distribuée, la migration ne change que l’implémentation du bus — pas les handlers.

Qu’est-ce que le pattern “fire-and-forget” ?

L’API publie un événement et rend la main immédiatement au client. Les traitements asynchrones (sauvegarde DB, notification CRM, envoi d’email) se font en arrière-plan. Un handler en erreur ne bloque pas les autres.

Combien de temps faut-il pour déployer un nouveau client ?

Avec le Blueprint en place, le déploiement technique prend environ 120 secondes. La configuration se résume à un fichier nuxt.config.ts d’une vingtaine de lignes et un VPS provisionné.

Le core peut-il être personnalisé par client ?

Le core lui-même est immuable. La personnalisation passe par trois mécanismes : les variables d’environnement, les feature flags dans runtimeConfig , et les surcharges de composants UI dans le dossier du client.

Comment gérez-vous les mises à jour du core ?

Chaque amélioration du core est commitée dans le monorepo et déployée sur les VPS clients via des scripts dédiés. Tous les clients bénéficient automatiquement des corrections et des nouvelles features.

Qu’est-ce que la “Constitution Industrielle” ?

Un ensemble de quatre règles architecturales non-négociables : core immuable, config déclarative, zéro hardcoding client, et base de données souveraine. Ces règles sont enforced par des hooks automatisés, pas par de la bonne volonté.

Pourquoi PrestaShop en backend plutôt qu’une solution custom ?

PrestaShop fournit un back-office mature pour la gestion catalogue, commandes et clients. Plutôt que de reconstruire cette couche, nous l’utilisons comme base de données métier et servons le front via Nuxt 3 en mode headless.

Qu’est-ce que Nuxt Layers et comment ça s’applique ici ?

Nuxt Layers permet à un projet d’hériter de la configuration, des composants, des pages et des APIs d’un autre projet via extends . C’est le mécanisme technique qui permet à chaque client d’hériter du core avec une seule ligne de config.

Comment garantissez-vous qu’aucune donnée ne fuite entre clients ?

Par design architectural. Chaque client a sa propre base de données sur son propre VPS. Il n’existe aucune connexion réseau entre les instances. La fuite de données inter-clients est structurellement impossible.

Ce modèle est-il plus cher qu’un SaaS mutualisé ?

Le coût d’un VPS dédié (20-40 €/mois) est supérieur à une instance mutualisée. Mais le coût total de possession est inférieur : pas de surprises tarifaires, pas de limites artificielles, pas de migration forcée, et une maintenance mutualisée via le core partagé.

À partir de combien de clients ce modèle devient-il rentable ?

Le modèle est rentable dès le premier client grâce au TJM de développement. L’effet de levier apparaît à partir du deuxième client : le core est déjà payé, chaque nouveau client est essentiellement du déploiement de configuration. Le coût marginal tend vers zéro.

strategie

J'ai arrêté de construire des sites — je construis une usine à navires

Monorepo PrestaShop Headless transformé en PaaS souverain single-tenant : EventBus, Constitution Industrielle, déploiement client en 120s.

8 min de lecture

Partager LinkedIn Facebook

Il y a six mois, je construisais des sites e-commerce. Un par un. À la main. Chaque nouveau client signifiait un nouveau repo, un nouveau cycle de copier-coller, et trois semaines de dette technique accumulée avant même la mise en production.

Aujourd’hui, je déploie un client en marque blanche en 120 secondes. Un fichier de configuration. Un deploy. C’est en ligne.

Ce n’est pas de la magie. C’est de l’ingénierie industrielle appliquée au logiciel vertical. Voici comment j’y suis arrivé — et pourquoi cette architecture est devenue mon avantage concurrentiel le plus difficile à copier.

Le piège des deux extrêmes

L’illusion du SaaS multi-tenant

Le réflexe de l’industrie, c’est le SaaS multi-tenant. Une base de données partagée. Un client_id partout. Une seule instance qui sert tout le monde.

Sur le papier, c’est élégant. En pratique, c’est un cauchemar qui s’aggrave avec chaque client :

Fuite de données — un WHERE client_id = ? oublié et les données d’un client apparaissent chez un autre. J’ai vu des plateformes SaaS perdre des contrats à sept chiffres pour ça.
Performance dégradée — le client qui fait un export de 50 000 produits ralentit tout le monde.
Complexité exponentielle — chaque feature doit être pensée multi-tenant. Chaque migration doit être rétrocompatible pour tous les clients simultanément.
Souveraineté impossible — vos données vivent sur le serveur de quelqu’un d’autre, mélangées avec celles de vos concurrents.

L’artisanat qui ne scale pas

L’alternative ? Le développement sur-mesure. Un repo par client. Un serveur par client. Mais aussi : un copier-coller par client. Une dette technique par client. Un cauchemar de maintenance qui grandit linéairement.

Au troisième client, vous passez plus de temps à maintenir qu’à construire. Au cinquième, vous êtes paralysé.

La troisième voie : le PaaS Souverain

J’ai choisi de ne choisir ni l’un ni l’autre. J’ai construit un PaaS single-tenant — un modèle où chaque client possède son propre VPS, sa propre base de données, son propre moteur. Mais tous partagent le même Blueprint : un core immuable qui est la source de vérité du code métier.

┌─────────────────────────────────────────────────┐
│                  MONOREPO                       │
│                                                 │
│   core/          ← Le Blueprint (immuable)      │
│   ├── server/api/     APIs métier               │
│   ├── components/     UI partagée               │
│   ├── composables/    Logique Vue               │
│   ├── operations/     EventBus + handlers       │
│   └── config/         Feature flags             │
│                                                 │
│   clients/                                      │
│   ├── client-alpha/   ← Config déclarative      │
│   │   ├── nuxt.config.ts  (22 lignes)           │
│   │   ├── assets/                               │
│   │   └── public/                               │
│   ├── alexandrecarette/                         │
│   └── [prochain-client]/                        │
└─────────────────────────────────────────────────┘
         │                          │
         ▼                          ▼
   ┌──────────┐             ┌──────────┐
   │  VPS #1  │             │  VPS #2  │
   │ Alpha    │             │ Client X │
   │ DB isolée│             │ DB isolée│
   └──────────┘             └──────────┘

Un VPS = Un client = Une DB. Pas de client_id. Pas de données mélangées. Pas de voisin bruyant. Chaque instance est souveraine.

Le Business OS : un système nerveux événementiel

Le cœur du Blueprint, c’est ce que j’appelle le Business OS — un bus d’événements léger construit sur le EventEmitter natif de Node.js, encapsulé dans une interface métier typée.

Pourquoi un EventBus et pas des appels directs ?

Parce qu’un site e-commerce n’est pas une suite de pages. C’est un flux d’événements métier : un devis est demandé, une commande est passée, un paiement est reçu. Chaque événement peut déclencher plusieurs réactions indépendantes — et ces réactions ne doivent jamais se bloquer mutuellement.

Voici l’interface :

// core/server/operations/bus/EventBus.ts

export interface DomainEvent<T = unknown> {
  id: string        // UUID v4
  name: string      // 'quote.requested'
  timestamp: string // ISO 8601
  payload: T        // Données typées
}

class EventBus {
  private emitter = new EventEmitter()

  publish<T>(event: DomainEvent<T>): void {
    for (const handler of this.emitter.listeners(event.name)) {
      try {
        const result = (handler as EventHandler<T>)(event)
        if (result instanceof Promise) {
          result.catch((err) =>
            console.error(`[EventBus] '${event.name}':`, err?.message)
          )
        }
      } catch (err: any) {
        console.error(`[EventBus] '${event.name}':`, err?.message)
      }
    }
  }

  subscribe<T>(eventName: string, handler: EventHandler<T>): void {
    this.emitter.on(eventName, handler as EventHandler)
  }
}

export const eventBus = new EventBus()

Fire-and-forget, résilient par design

Quand un prospect soumet une demande de devis, l’API publie un événement et rend la main immédiatement :

// core/server/api/quote/submit.post.ts

export default defineEventHandler(async (event) => {
  const data = QuoteSubmitSchema.safeParse(body).data

  // Publier → les handlers s'exécutent en parallèle
  eventBus.publish(createQuoteRequestedEvent({
    ...data,
    totalItems: data.items.reduce((s, i) => s + i.quantity, 0),
  }))

  return { success: true }
})

En coulisses, deux handlers se déclenchent simultanément — sans se connaître, sans se bloquer :

// core/server/plugins/operations.ts

eventBus.subscribe(QUOTE_REQUESTED, SaveToDatabaseHandler)
eventBus.subscribe(QUOTE_REQUESTED, PushToCrmHandler)

Si le CRM est en panne, la sauvegarde en base fonctionne quand même. Si la base est lente, le CRM reçoit sa notification sans attendre. Un handler en erreur ne contamine jamais les autres.

Et parce que chaque VPS est isolé, l’EventBus reste local. Pas de Redis. Pas de RabbitMQ. Pas d’infrastructure distribuée à maintenir. Le jour où un client aura besoin de plus, la migration vers une file d’attente externe ne changera pas une ligne dans les handlers — juste l’implémentation du bus.

La Constitution Industrielle

Un moteur partagé entre plusieurs clients, c’est une bombe à retardement si n’importe qui peut y écrire n’importe quoi. J’ai donc verrouillé le système avec quatre règles constitutionnelles.

Règle 1 — Le Core est immuable

core/           ← TOUTE la logique métier vit ici
  server/api/   ← APIs
  components/   ← UI
  composables/  ← Logique réactive
  operations/   ← EventBus + handlers

Aucune exception. Si un client a besoin d’une feature, elle est codée de manière générique dans le core et activée par configuration. Le core est le Blueprint — il est versionné, testé, et identique sur tous les VPS.

Règle 2 — La config est 100 % déclarative

Un client, c’est un fichier nuxt.config.ts de 22 lignes :

// clients/client-alpha/nuxt.config.ts

export default defineNuxtConfig({
  extends: ['../../core'],

  runtimeConfig: {
    public: {
      clientId: 'client-alpha',
      brandName: 'Mon Enseigne',
      contactEmail: 'contact@mon-enseigne.fr',
      b2bMode: true,
      catalogueIndexable: true,
    },
  },
})

extends: ['../../core'] — cette ligne hérite de tout : les APIs, les composants, les composables, les pages, les assets. Le client ne déclare que ce qui le différencie.

Règle 3 — Zéro hardcoding client

Interdit d’écrire if (client === 'client-alpha') dans le code. Jamais. La différenciation passe exclusivement par :

Les variables d’environnement (.env par VPS)
Les feature flags (runtimeConfig.public.b2bMode)
Les surcharges UI (un composant dans clients/client-alpha/components/ remplace celui du core)

Le core ne sait pas pour qui il tourne. Il sait juste ce qu’il doit faire.

Règle 4 — Chaque base est souveraine

Pas de colonne client_id. Pas de WHERE tenant = ?. La requête SQL est la même partout — c’est la base de données qui change.

-- Cette requête est identique sur tous les VPS
SELECT * FROM ps_product WHERE active = 1

-- Client A → DB Client A (ses 2 000 produits)
-- Client X → DB Client X (ses 500 produits)
-- Aucune possibilité de fuite de données

Les résultats

Cette refactorisation n’était pas un exercice académique. Voici ce qu’elle a produit en une session :

Métrique	Avant	Après
Lignes de dette technique	~400 lignes de code mort, shims, résidus	Purgées
Temps de build	Variable, dépend du tenant	~120 secondes
Fichiers dans `clients/client-alpha/`	Logique métier mélangée	Config + assets uniquement
Déploiement nouveau client	Jours de setup	Un `nuxt.config.ts` + un `deploy`
Risque de fuite inter-client	Structurel (DB partagée)	Impossible (DB isolées)

La réduction de 400 lignes n’est pas anodine. Chaque ligne supprimée est une ligne qui ne peut plus casser en production, qui n’a plus besoin d’être maintenue, qui ne ralentit plus la compréhension du code.

Le Moat : pourquoi c’est difficile à copier

Ce système est un avantage concurrentiel composé. Voici pourquoi :

1. Le coût marginal d’un client tend vers zéro. Quand le Blueprint est stable, ajouter un client coûte un fichier de config, un VPS à 20 €/mois, et un deploy. La marge augmente à chaque nouveau client sans augmenter la complexité.

2. Chaque amélioration bénéficie à tous les clients. Un fix de performance dans le core ? Tous les VPS en profitent au prochain déploiement. Un nouveau composant ? Disponible partout. L’effort est mutualisé, le bénéfice est multiplié.

3. L’isolation rend le système antifragile. Un client qui fait une bêtise ne peut pas impacter les autres. Un VPS qui tombe ? Les autres continuent. Pas de single point of failure, pas de “noisy neighbor”.

4. La Constitution empêche la régression. Les quatre règles ne sont pas des guidelines — ce sont des gardes-fous automatisés. Les hooks pre-commit vérifient qu’aucune logique métier n’atterrit dans clients/. Les feature flags empêchent le hardcoding. Le système se protège lui-même.

Ce n’est pas un framework. Ce n’est pas un template. C’est une discipline industrielle encodée dans l’architecture — et c’est exactement ce qui la rend difficile à reproduire. Vous pouvez copier le code. Vous ne pouvez pas copier les centaines de décisions qui ont mené à ces règles.

Pour qui c’est fait

Si vous êtes un CTO ou un directeur e-commerce qui gère (ou prévoit de gérer) plusieurs boutiques B2B — marques sœurs, filiales, marchés internationaux — cette architecture résout le problème que vous connaissez déjà : comment scaler sans que chaque nouvelle boutique devienne un projet à part entière.

Si vous êtes un développeur PrestaShop qui en a marre de copier-coller des modules entre des instances, vous savez exactement de quelle douleur je parle.

Et si vous êtes un artisan du logiciel qui croit que l’excellence technique et la rentabilité ne sont pas incompatibles — bienvenue. On construit la même chose.

Approfondir dans l'Academy

Module : Architecture Headless de A à Z →

Articles dans le même univers

Questions fréquentes

Tout ce que vous devez savoir sur ce sujet.

: Un modèle d’hébergement où chaque client possède son propre serveur (VPS) et sa propre base de données, tout en bénéficiant d’un code source partagé (le “core”). Contrairement au SaaS multi-tenant, les données ne sont jamais mélangées.
: En multi-tenant, tous les clients partagent la même base de données avec un identifiant client_id . En single-tenant, chaque client a sa propre base isolée. Le single-tenant élimine structurellement le risque de fuite de données inter-clients.
: Ces plateformes sont multi-tenant par design. Vous n’avez pas de contrôle sur votre infrastructure, vos données vivent sur leurs serveurs, et vous êtes soumis à leurs limitations techniques et tarifaires. Le PaaS souverain vous donne le contrôle total.
: C’est un bus d’événements in-memory basé sur le EventEmitter de Node.js. Quand un événement métier se produit (demande de devis, commande), il est publié et tous les handlers enregistrés s’exécutent en parallèle sans se bloquer mutuellement.
: Parce que chaque VPS est isolé. Un bus local suffit amplement pour une instance single-tenant. Si un client atteint un volume qui nécessite une file distribuée, la migration ne change que l’implémentation du bus — pas les handlers.
: L’API publie un événement et rend la main immédiatement au client. Les traitements asynchrones (sauvegarde DB, notification CRM, envoi d’email) se font en arrière-plan. Un handler en erreur ne bloque pas les autres.
: Avec le Blueprint en place, le déploiement technique prend environ 120 secondes. La configuration se résume à un fichier nuxt.config.ts d’une vingtaine de lignes et un VPS provisionné.
: Le core lui-même est immuable. La personnalisation passe par trois mécanismes : les variables d’environnement, les feature flags dans runtimeConfig , et les surcharges de composants UI dans le dossier du client.
: Chaque amélioration du core est commitée dans le monorepo et déployée sur les VPS clients via des scripts dédiés. Tous les clients bénéficient automatiquement des corrections et des nouvelles features.
: Un ensemble de quatre règles architecturales non-négociables : core immuable, config déclarative, zéro hardcoding client, et base de données souveraine. Ces règles sont enforced par des hooks automatisés, pas par de la bonne volonté.
: PrestaShop fournit un back-office mature pour la gestion catalogue, commandes et clients. Plutôt que de reconstruire cette couche, nous l’utilisons comme base de données métier et servons le front via Nuxt 3 en mode headless.
: Nuxt Layers permet à un projet d’hériter de la configuration, des composants, des pages et des APIs d’un autre projet via extends . C’est le mécanisme technique qui permet à chaque client d’hériter du core avec une seule ligne de config.
: Par design architectural. Chaque client a sa propre base de données sur son propre VPS. Il n’existe aucune connexion réseau entre les instances. La fuite de données inter-clients est structurellement impossible.
: Le coût d’un VPS dédié (20-40 €/mois) est supérieur à une instance mutualisée. Mais le coût total de possession est inférieur : pas de surprises tarifaires, pas de limites artificielles, pas de migration forcée, et une maintenance mutualisée via le core partagé.
: Le modèle est rentable dès le premier client grâce au TJM de développement. L’effet de levier apparaît à partir du deuxième client : le core est déjà payé, chaque nouveau client est essentiellement du déploiement de configuration. Le coût marginal tend vers zéro.

Une question ?

Contactez-nous directement.

contact@alexandrecarette.fr ← Tous les articles

Discussion

Cluster Sémantique

Voir tous les articles

strategie

Service design IA : 3 agents auditent un thème e-commerce en direct

Comment 3 agents IA du Synedre — Itten, Coco, Eames — auditent un design system e-commerce. Cadres cognitifs, méthode et recommandations concrètes.

13 avr. 2026

Lire l'article

strategie

Dust, ChatGPT Enterprise, Synedre : trois IA d'entreprise comparées

Dust.tt, ChatGPT Enterprise, Synedre : trois familles d'IA d'entreprise comparées honnêtement. Quel choix pour une PME française en 2026 ?

8 avr. 2026

Lire l'article

strategie

Bases de données et IA — vos pipelines de logs sont vides

La vraie limite des bases de données face à l'IA n'est pas leur architecture, c'est l'absence de discipline d'écriture. Preuves en cinq sources standard.

8 avr. 2026

Lire l'article

Voir tous les articles sur Strategie

Le piège des deux extrêmes

L’illusion du SaaS multi-tenant

L’artisanat qui ne scale pas

La troisième voie : le PaaS Souverain

Le Business OS : un système nerveux événementiel

Pourquoi un EventBus et pas des appels directs ?

Fire-and-forget, résilient par design

La Constitution Industrielle

Règle 1 — Le Core est immuable

Règle 2 — La config est 100 % déclarative

Règle 3 — Zéro hardcoding client

Règle 4 — Chaque base est souveraine

Les résultats

Le Moat : pourquoi c’est difficile à copier

Pour qui c’est fait

Articles dans le même univers

Questions fréquentes

Discussion

Votre avis sur cet article

Nos conseils liés à Strategie

Service design IA : 3 agents auditent un thème e-commerce en direct

Dust, ChatGPT Enterprise, Synedre : trois IA d'entreprise comparées

Bases de données et IA — vos pipelines de logs sont vides