Les éditeurs de logiciel en mode SaaS sont particulièrement visés par la réforme du droit des données personnelles qui entrera en vigueur le 25 mai 2018. Dans la grande majorité des cas, ces éditeurs de logiciel réalisent trois traitements de données personnelles, relatifs à leur site web, à leurs salariés et à l’édition de leur logiciel SaaS. La mise en conformité RGPD devra donc concerner ces trois traitements.
D’un point de vue juridique, la mise en conformité RGPD ne soulève pas de difficulté majeure. Il s’agit principalement de suivre une méthodologie afin de mettre à plat dans l’entreprise toutes les pratiques relatives aux données personnelles, les analyser, les cartographier, avant de réaliser les formalités nécessaires auprès de la Cnil.
1. Réaliser une analyse d’impact
L’analyse d’impact est une étape préalable obligatoire si deux des critères suivants sont réunis, ce qui sera le cas pour la majorité des logiciels SaaS:
- utilisation d’une nouvelle technologie ;
- évaluation ou scoring, y compris le profilage ;
- collecte de données personnelles à large échelle ;
- croisement de données ;
- personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
- décision automatique avec effet légal ou similaire ;
- surveillance systématique ;
- collecte de données sensibles ;
- exclusion du bénéfice d’un droit ou d’un contrat.
L’analyse d’impact consiste à réaliser l’étude technique des risques pour la sécurité des données (accès non autorisé, modification et disparition de données, et leurs impacts potentiels sur la vie privée), ainsi que l’évaluation juridique de la nature et de la gravité des atteintes potentielles à la vie privée des personnes concernées.
2. Etablir un registre pour chaque traitement
Un registre doit être établi pour chaque traitement. Ce registre permet, en amont, de mettre à plat les traitements, en analysant notamment les données collectées, les modalités de collectes, les éventuels transferts, les finalités du traitement, la durée de conservation, en vérifiant pour chacune de ces opérations leur conformité aux droits des données personnelles.
3. Rédiger des politiques de confidentialité
Une fois ce travail réalisé, il est alors possible de rédiger une politique de confidentialité, qui vise à informer pleinement les utilisateurs du site web et les utilisateurs du logiciel SaaS sur la nature des traitements réalisés, afin de recueillir leur consentement éclairé pour le traitement des données. Il s’agit en quelques sortent d’une mise en forme users friendly du registre de données personnelles.
4. Choisir son délégué à la protection des données (DPD)
Pour les éditeurs de logiciels SaaS, la désignation d’un délégué à la protection des données est obligatoire en 2018 si le logiciel :
- permet de réaliser un suivi régulier et systématique des personnes à grande échelle, et/ou
- implique de traiter des données sensibles, c’est-à-dire des données relatives à l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques, des données de santé ou des données concernant la vie sexuelle ou l’orientation sexuelle, et/ou
- implique de traiter des données relatives à des condamnations pénales et infractions.
Même si l’éditeur de logiciel n’a pas l’obligation de désigner un délégué à la protection des données, il s’agit d’une bonne pratique qui peut être réalisée sans frais auprès de la Cnil et qui permet de réduire considérablement les risques de sanction.
Le rôle du délégué à la protection des données est :
- d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés ;
- de contrôler le respect du règlement et du droit national en matière de protection des données ;
- de conseiller l’organisme sur la réalisation d’études d’impact sur la protection des données et d’en vérifier l’exécution ;
- de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.
5. Réaliser les formalités auprès de la Cnil
La loi française Informatique et Libertés, applicable jusqu’au 25 mai 2018, impose de réaliser une déclaration préalable auprès de la Cnil avant la mise en oeuvre de tout traitement de données personnelles. A compter du 25 mai 2018, le Règlement général pour la protection des données met fin à cette obligation déclarative. Le RGPD abroge également l’obligation de procéder à des demandes d’autorisation pour le traitement de données sensibles, notamment pour les données de santé.
La seule formalité qu’impose le RGPD est la désignation en ligne auprès de la CNIL du délégué à la protection des données. Un formulaire en ligne devrait être disponible prochainement sur le site de la Cnil.