Depuis que le nouveau Règlement européen sur la protection des données personnelles est entré en vigueur le 25 mai 2 018, les responsables de traitement ainsi que les sous-traitants dont font partie les éditeurs de logiciels voient leurs obligations se renforcer pour assurer la mise en conformité avec le RGPD. En effet, si on parle bien souvent des nouveaux rôles du responsable de traitement et du DPO, on a tendance à laisser de côté les sous-traitants, alors qu’ils sont bel et bien concernés par les nouvelles règles de protection de données.
Les éditeurs en ligne de mire
Le CNIL l’a dit et l’a répété à plusieurs reprises : les éditeurs de logiciels ne sont pas responsables des traitements. Cependant, les clients exigent d’eux que leurs produits soient bien conformes avec le RGPD. En effet, le management de la conformité change la donne et impose l’accountabilité, ce qui oblige les responsables des traitements à prouver qu’ils respectent le règlement européen relatif à la protection des données.
Cette accountabilité exige la définition d’un programme de management de la conformité en termes de protection des données. Il contient entre autre une procédure des politiques de sécurité, de violation des données mais aussi des procédures pour garantir que les mesures et les principes de protection sont bien appliqués. On y aborde aussi la question de la durée de conservation des données personnelles.
En effet, le RGPD ne concerne pas uniquement le traitement des données, mais intervient aussi dès la phase de conception des logiciels eux-mêmes car après tout, ce sont eux qui seront utilisés pour la gestion des données et qui assurent d’une certaine manière la sécurisation des données des citoyens de l’Union Européenne.
Les points de vigilance parmi les obligations
Un éditeur de logiciel est une entreprise, et à ce titre, il doit respecter quelques points dans plusieurs domaines, notamment le marketing, le commercial, les RH… pour être conforme au règlement. Les obligations sont nombreuses si on considère les entreprises dans leur globalité, mais pour ne citer que les éditeurs de logiciels, certains points de vigilance sont à prendre en compte.
Tout d’abord, sur le plan marketing, les changements prévus par le RGPD peuvent avoir de nombreuses conséquences. En effet, le règlement européen a pour ambition de mettre fin aux sollicitations marketing non approuvées. Les solutions SaaS sont en causse car l’ensemble de leur cycle client se passe en ligne. Le mode de prospection doit donc être totalement repensé.
Par ailleurs, sur le plan juridique, tous les documents légaux doivent faire mention du RGPD. Cet ajout se présentera sous forme de clauses supplémentaires ou de révisions. L’objectif est de rendre l’ensemble cohérent, de façon à pouvoir présenter aux clients que le produit conçu est mis en conformité avec le règlement européen.
Enfin, sur le plan organisationnel, en plus des obligations communes relatives aux traitements des données personnelles, un éditeur pourra aussi prévoir le même processus pour ses produits, pour qu’il puisse prouver à tout moment que la mise aux normes est garantie en même temps que l’évolution de la solution proposée. N’oubliez pas que pour garantir entièrement la sécurité des données, il est possible de confier le processus à des professionnels. Voir ce site.
Travailler le produit
La conformité des produits logiciels avec le RGPD est devenue une question centrale. C’est même un critère éliminatoire si les éditeurs ne garantissent pas avoir pris les mesures pour mettre en conformité leurs produits. En effet, au moment de la conception, il faudra s’assurer que les produits garantissent bien la protection des données à caractère personnel. Pour cela, les éditeurs devront se concentrer sur trois éléments, qui sont la pseudonymisation (ou même l’anonymisation), la gestion des droits et la sécurité informatique.