Utiliser un logiciel SaaS en entreprise présente de nombreux avantages. Toutefois, il faut aussi faire face à un risque de défaut de sécurité avec une telle application. C’est en cela que les logiciels SaaS conformes au RGPD sont les plus recommandés. D’ailleurs, les éditeurs de ces applications ont compris cette exigence et sont activement à pied d’œuvre pour s’assurer de la conformité de leurs créations aux normes du règlement général sur la protection des données (RGPD). Plus de détails ici !
Les logiciels SaaS pris en compte par le règlement RGPD
Ce ne sont pas toutes les données qui peuvent faire l’objet d’une certification RGPD. De façon concrète, le Règlement Général sur la Protection des données (RGPD), tel que cela est établi par la CNIL, prend en compte les données personnelles. Il s’agit des données relatives à une personne physique, directement ou non. Comme exemples de données personnelles qui peuvent faire l’objet de mise en conformité, il y a le nom, l’adresse email et l’identifiant des utilisateurs. En clair, toutes les données à caractère confidentiel relatives aux utilisateurs d’un logiciel SaaS sont concernées par le RGPD.
Les éditeurs de logiciels SaaS (Software as a Service, ou logiciels en mode abonnement) sont concernés par le RGPD (Règlement général sur la protection des données) car ils traitent souvent des données personnelles de leurs utilisateurs.
Le RGPD est une réglementation européenne qui a pour objectif de protéger les données personnelles des individus et de leur garantir un niveau élevé de protection. Il s’applique à toute entreprise, quelle que soit sa taille et son secteur d’activité, qui traite des données personnelles de personnes résidant dans l’Union européenne.
Les éditeurs de logiciels SaaS sont donc concernés par le RGPD s’ils traitent des données personnelles de personnes résidant dans l’Union européenne, même s’ils ne sont pas basés dans l’Union européenne. Ils doivent alors se conformer aux exigences du RGPD et mettre en place les mesures de protection adéquates pour garantir la sécurité et la confidentialité des données personnelles de leurs utilisateurs.
Il faut aussi préciser que pour la mise en conformité au RGPD, le consentement des utilisateurs du logiciel SaaS n’est pas forcément indispensable. Toutefois, il faudra prendre en compte la situation et le type de traitement concerné pour réaliser cette opération. D’un autre côté, il faut aussi noter que la CNIL se réserve le droit de faire des contrôles périodiques pour s’assurer de la bonne application de cette réglementation. Ces contrôles peuvent être effectués dans les locaux des entreprises ou sur internet. En cas de non-respect de ces normes, les entreprises s’exposent à des sanctions. Celles-ci peuvent se résumer au paiement d’une amende de 20 millions d’euros ou correspondant à 4 % du chiffre d’affaires.
La mise en œuvre de la conformité RGPD
Selon le mode du logiciel, la mise en œuvre de la conformité RGPD peut varier. Ainsi, dans le cadre d’un logiciel web (en mode hébergé et SaaS), l’éditeur est considéré comme un sous-traitant. C’est donc le client qui est responsable du traitement des données en conformité avec la loi de l’informatique et des libertés en vigueur. Quant à lui, l’éditeur ou l’hébergeur travaille pour le compte de son client selon le contrat établi entre les deux parties.
Il est aussi possible pour une entreprise d’acquérir un logiciel SaaS et de l’utiliser de façon indépendante pour ses besoins de services. On parlera dans ce cas de l’utilisation en mode On-Premise. Dans ce cas, l’éditeur n’a aucun accès aux données qui sont traitées dans le logiciel. Il ne peut donc pas être considéré comme un sous-traitant ici. Toutefois, en conformité avec le droit européen, l’éditeur du logiciel SaaS est dans l’obligation de fournir une version de l’application en s’assurant de sa conformité. C’est ce qui permettra à l’utilisateur de faire des traitements en toute connaissance de cause. Quoi qu’il en soit, le RGPD SaaS est indispensable dans tous les cas.
Plan d’Action RGPD pour éditeur de logiciel
Voici quelques actions que peut entreprendre un éditeur de logiciel SaaS pour se mettre en conformité avec le RGPD :
- Identifier les données personnelles que votre entreprise traite et la finalité de ce traitement.
- Établir un inventaire des traitements de données personnelles effectués par votre entreprise.
- Évaluer si ces traitements sont nécessaires et proportionnés au regard de leurs finalités.
- Mettre en place des mesures de protection adéquates pour garantir la sécurité et la confidentialité des données personnelles (par exemple, chiffrement, pare-feu, etc.).
- Désigner un DPO (responsable de la protection des données) si votre entreprise remplit certaines conditions (par exemple, si vous traitez des données sensibles de manière régulière et à grande échelle).
- Établir des procédures de gestion des incidents de sécurité et de notification de violations de données.
- Informer les personnes concernées de leurs droits en matière de protection des données (par exemple, le droit d’accès, de rectification, d’effacement, etc.).
- Établir des contrats de sous-traitance avec tous les sous-traitants qui traitent des données personnelles pour votre compte.
- Se tenir informé des évolutions de la réglementation en matière de protection des données et mettre à jour vos politiques et procédures en conséquence.
Il est recommandé de se faire accompagner par un professionnel du droit ou un consultant en protection des données pour s’assurer de la conformité de votre entreprise avec le RGPD.
Quelle est la responsabilité des éditeurs dans le cadre du RGPD SaaS ?
Ceci représente une responsabilité qui incombe aux éditeurs. Ces derniers, en qualité de sous-traitants, doivent répondre aux obligations prévues par la CNIL en ce sens. De ce fait, les éditeurs doivent intégrer la Privacy by design au RGPD SaaS pour sa conformité. Il s’agit d’une mesure visant à protéger les données des utilisateurs dès que celles-ci sont disponibles. Cette protection des données prend en compte les fonctionnalités du logiciel et leur adéquation avec les obligations de conformité.
En fonction de la nature des données personnelles recueillies et de l’utilisation prévue, l’éditeur doit garantir un niveau de sécurité optimal. En cas de faille, notamment sur le plan sécuritaire, le responsable de traitement doit être mis au courant. L’éditeur se mettra aussi à la disposition de ce responsable de traitement pour l’aider à résorber le problème soulevé. D’ailleurs, aucune sous-traitance ne peut se faire sans l’autorisation du responsable de traitement.
Pour les opérations de contrôles périodiques prévues par la CNIL, l’éditeur du logiciel SaaS doit se rendre disponible et coopérer. Il devra tenir à jour, un registre des traitements. Le sous-traitant aura aussi la responsabilité de désigner un délégué à la protection des données (DPO).
L’éditeur ajoutera aussi le data processing agreement (DPA) aux clauses contractuelles du SaaS. C’est l’accord de sous-traitance qui l’autorise au traitement des données personnelles. Ce contrat devra définir clairement les conditions dans lesquelles les données seront traitées pour la conformité au RGPD SaaS. Bien entendu, les instructions du client seront aussi prises en compte pour le traitement en question.
Mode de gestion des données personnelles pour un logiciel SaaS
La gestion des données personnelles prend en compte, en premier lieu, la sécurisation de la plateforme. C’est un service indispensable qui intègre idéalement la notion de Privacy by design. À défaut, l’éditeur peut aussi concevoir ses propres outils pour assurer cette protection des données personnelles des clients. Le traitement se fait à chaque étape du développement du logiciel SaaS, que ce soit au niveau de l’analyse, du design, du développement ou de la maintenance.
Ce processus permet aux clients de profiter d’un traitement de données parfaitement adapté à leurs besoins. Il faut aussi parler de la sécurité dont les éditeurs de logiciels doivent faire preuve pour le transfert des données hors de l’Union européenne. Le transfert se fait sur la base d’outils juridiques prévus dans le RGPD. Dans certains cas, l’éditeur du logiciel peut être amené à demander une autorisation à la CNIL pour le traitement des données.
Enfin, il importe de notifier que le RGPD SaaS s’applique aussi bien à la protection des données dans le cadre privé que dans le milieu du travail. Les données à traiter peuvent être un nom ou un prénom. Dans ce cas, le principe qu’une donnée professionnelle peut avoir un caractère personnel tient toute sa valeur. Ce sera par exemple le cas quand une personne exerce son activité professionnelle sous son nom propre. Elle sera alors clairement identifiable.