Logiciel en mode SaaS et mise en conformité RGPD

Logiciels et RGPD : assurer la protection des données utilisateurs (entreprise et client)

Il existe de nombreux avantages d’un logiciel en mode SaaS, mais se pose souvent la question de la sécurité.. On fait le point sur le RGPD.

Quelles données sont concernées par le règlement RGPD ?  

Le RGPD, Règlement Général sur la Protection des données (ou GDPR en anglais), vise les données personnelles, définies comme « toute information concernant une personne physique identifiée ou identifiable », directement ou indirectement (nom, adresse email, identifiant… sont donc des données à caractère confidentiel, concernées par le RGPD).

Selon la situation et le type de traitement concerné, le consentement des personnes dont les données sont traitées n’est pas obligatoire (ce qui est le cas pour l’exécution d’un contrat par exemple).

Soyez vigilant·e·s, la CNIL* procède à des contrôles dans les locaux des organisations ou sur internet afin de s’assurer de la bonne application de cette règlementation. Les risques encourus en cas de violation sont des amendes pouvant s’élever à 20 millions d’euros ou 4% du chiffre d’affaires (ça calme).

Une mise en œuvre différente selon le mode du logiciel

Mode on premise : votre entreprise a acquis le logiciel qu’elle utilise de manière tout à fait indépendante. L’éditeur, n’ayant aucun accès aux données traitées dans ledit logiciel, n’est pas considéré comme sous-traitant des données. Cependant le droit Européen considère qu’il est dans l’obligation de fournir une version de sa solution conforme au RGPD, afin de vous permettre de réaliser les traitements dont vous êtes responsable.

Modes hébergé et SaaS (logiciel web) : l’hébergeur ou l’éditeur de logiciels (selon le contrat) est considéré comme sous-traitant ; il traite les données pour le compte de son client (ce dernier est donc Responsable de traitement selon la loi en vigueur).

Focus sur la responsabilité de l’éditeur de solutions

L’entreprise ayant le rôle de sous-traitant doit évidemment répondre à des obligations pour sa mise en conformité, parmi elles :

  • Intégrer la notion de Privacy by design (protéger les données dès la conception en prenant en compte dans chaque fonctionnalité les obligations de conformité) ;
  • Garantir un niveau de sécurité adapté au risque en fonction de la nature des données et de leur finalité ;
  • Notifier le Responsable de traitement en cas de faille de sécurité ;
  • Se tenir à disposition du Responsable de traitement afin de lui permettre de répondre à ses propres obligations ;
  • Coopérer aux opérations de contrôle (contrôle de la CNIL ou audit par exemple) ;
  • Ne pas sous-sous-traiter sans l’autorisation du Responsable de traitement ;
  • Tenir un registre des traitements, désigner un DPO (le DPO est le Délégué à la Protection des Données) …

Enfin, en plus des clauses obligatoires du contrat SaaS qu’il émet, l’éditeur logiciel doit ajouter le DPA : Data Processing Agreement, qui correspond à l’accord de sous-traitance de traitement de données personnelles. Il définit les conditions dans lesquelles l’éditeur traite les données personnelles de son client (en suivant les instructions de ce dernier).

La gestion des données personnelles dans un contexte SaaS 

La sécurisation de la plate-forme : un service indispensable

Comme nous l’avons vu ci-dessus, un éditeur SaaS doit, pour assurer sa conformité, intégrer la notion de Privacy by design, soit concevoir ses outils de manière à assurer la gestion de la protection des données personnelles que leurs clients seront amenés à traiter dans l’outil, et ce à chaque étape du développement (analyse, design, développement, maintenance etc…).

Cette notion apporte aux clients la garantie d’un traitement des données parfaitement sûr et qui correspond exactement à leur besoin.

Le transfert de données en toute sécurité

Les responsables de traitement et les sous-traitants ont la possibilité de transférer des données hors de l’Union européenne. Cependant ils doivent être en capacité de garantir un niveau de protection des données suffisant et approprié.

Les transferts doivent être encadrés en utilisant les différents outils juridiques définis dans le RGPD. Selon le fondement du transfert, il peut être nécessaire que le responsable traitant les données demande une autorisation à la CNIL.

TRADE.EASY et la gestion des données personnelles pour votre société

Des données entreprises concernées ?

Nous pouvons partir du principe qu’une donnée, même professionnelle, peut constituer une donnée à caractère personnel, dès lors que vous traitez des informations telles qu’un nom ou un prénom. Un cas évident étant une personne exerçant son activité professionnelle sous son nom propre. La personne est donc clairement identifiable.

Le RGPD est une mesure visant à la protection de vos données autant dans votre vie privée que dans le cadre d’une utilisation au travail.

Dans TRADE.EASY, la collecte des informations pour constituer vos fiches partenaires (clients, prospects, fournisseurs, prestataires…), indispensables dans le cadre de votre activité, contiennent des informations concernées par le RGPD. Mais soyez rassuré·e·s, la conception de TRADE.EASY intègre la notion de Privacy by design. De plus, notre solution est hébergée dans notre propre datacenter certifié ISO 27001 et HDS, soit le plus haut niveau de sécurité. Enfin, vous retrouverez dans nos CGUV, l’article sur la protection des données qui détaille les rôles, le droit et les responsabilités des parties, ainsi que les coordonnées de notre DPO, répondant au cadre du RGPD.

Les utilisateurs de TRADE.EASY bénéficient des droits d’accès à leurs Données Personnelles, de rectification ou d’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité de leurs Données Personnelles. Nous aidons aussi nos clients à répondre à leurs obligations vis-à-vis des données qu’ils traitent dans TRADE.EASY.

* CNIL : Commission Nationale de l’Informatique et des Libertés, créée par la loi Informatique et Libertés du 6 janvier 1978, en charge de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés. C’est donc l’organisme central du RGPD.