En tant qu’éditeur de logiciel SaaS, nous sommes au quotidien amenés à traiter de nombreuses données au même titre que nos clients. Certaines de ces données ont un caractère personnel dont la protection dépend du Règlement général sur la protection des données (RGPD), prévu pour entrer en vigueur en mai 2018. Pas question pour nous d’ignorer cette nouvelle réglementation européenne au prétexte qu’elle ne nous concerne pas… Car dès 2018, elle devra faire partie intégrante de notre stratégie liée à la protection des données.
Le RGPD vous concerne aussi Le RGPD, ça vous dit quelque chose ? Il s’agit du Règlement général sur la protection des données établi au niveau européen, et prévu pour entrer en vigueur le 25 mai 2018. Son but : renforcer et uniformiser la protection des données à caractère personnel au sein des pays de l’Union européenne, en remplacement de la directive de 1995. En tant que sous-traitant travaillant pour le compte du responsable du traitement (le client), nous sommes aussi concernés par les obligations qui découlent de ce règlement. En voici trois exemples.
Accountability : une attestation de conformité indispensable Le RGPD concerne les responsables de traitement – les clients finaux – et les sous-traitants. À travers la notion d’ »accountability », les organismes responsables du traitement devront démontrer leur conformité aux obligations légales tout comme les éditeurs. En effet, les deux entités ont une “responsabilité conjointe” vis à vis des données et devront donc rédiger un contrat stipulant les responsabilités et le rôle de chacun.
Privacy by design : la sécurité des données par défaut De la notion d’accountability en découle une autre : celle de Privacy by design. Ce principe suppose de prendre en compte la protection des données personnelles dès l’étape de la conception des produits, systèmes et services, lorsque ceux-ci sont utilisés pour l’exploitation d’informations qui tombent sous le coup du RGPD. Non seulement les responsables de traitement doivent s’assurer de la conformité des solutions qu’ils créent en interne, mais ils doivent également le faire pour les outils développés par un sous-traitant. Les logiciels SaaS devront donc tous intégrer la notion de Privacy by design ainsi qu’un système de sécurisation des données (Security by default).
Savoir répondre aux exigences des utilisateurs En outre, le RGPD confère aux utilisateurs un certain nombre de droits en regard de leurs données personnelles : le consentement explicite et positif, le droit à la portabilité (toute personne peut demander à obtenir les données fournies pour pouvoir les transmettre à un autre responsable du traitement) ou encore le droit à l’effacement (« droit à l’oubli »). Dans ce contexte, les prestataires devront aider leurs clients à mettre en œuvre les mesures techniques et organisationnelles permettant de répondre aux exigences des utilisateurs. Et intervenir pour corriger les éventuels défauts qui pourraient remettre en cause cette conformité ! D’où la mise en place d’un contrat qui devra être signé entre les clients et les éditeurs afin d’expliciter les responsabilités de chacun.
En raison des contraintes qu’il impose aux responsables du traitement, le RGPD va pousser les clients à choisir leurs éditeurs de logiciels SaaS avec plus de soin. Ils voudront s’assurer que ces prestataires présentent des garanties suffisantes au regard de la nouvelle réglementation et que leurs outils sont bien sécurisés par défaut. La conformité des solutions en mode SaaS va donc devenir à court terme un vrai critère de choix !