Vous êtes probablement, comme la plupart des entreprises, utilisateurs de logiciels suivant divers modes d’utilisation :
- Le mode sur site (« on-premise »), selon lequel vous avez acquis une licence d’utilisation d’un logiciel. Ce dernier est installé au sein de votre centre informatique, vous en maîtrisez l’accès et l’exploitation ;
- Le mode « hébergé », variante du précédent : en ce cas l’application, dont vous possédez une licence d’utilisation, est installée chez un hébergeur ;
- Le mode « SaaS » (Software as a Service), le plus récent, où le logiciel est installé sur les serveurs de l’éditeur. Vous avez un droit d’utilisation du Service, mais ne maîtrisez ni l’exploitation du logiciel ni la localisation géographique des données.
Chaque entreprise doit interpeller 200 éditeurs !
Combien de logiciels utilisez-vous ? Ou plus exactement avec combien d’éditeurs êtes-vous liés ? Les études évaluent à plus de 500 en moyenne les applications utilisées en entreprise. Soit environ 200 éditeurs avec qui échanger… avant le 25 mai 2018 !
Nous ne reviendrons pas ici sur les nouvelles obligations liées au RGPD. L’utilisation d’application rend encore plus complexe la mise en œuvre des bonnes pratiques RGPD : la quasi-totalité de vos solutions contiennent de fait des données personnelles dont vous êtes responsable : l’adresse email ou le téléphone d’un utilisateur, par exemple, sont des données personnelles qu’il vous faut protéger.
Comment s’assurer de la conformité RGPD des logiciels que vous utilisez ? Le cas est différent selon leur mode d’utilisation.
on-premise : pas de sous-traitant ?
Les obligations du RGPD concernent à la fois le client collecteur des données, qui est le responsable du traitement des données personnelles (au sens du RGPD), et son sous-traitant éventuel.
Votre éditeur est-il votre sous-traitant en ce cas ? Non au titre de la licence : il vous a vendu une application informatique, que vous utilisez de manière indépendante sous votre responsabilité. Il n’accède pas, au titre de la licence, à vos données. Vous ne lui sous-traitez donc pas le traitement de vos données personnelles. C’est la position de la CNIL.
Cette réponse appelle deux précisions :
1) Même s’il n’est pas sous-traitant l’éditeur se doit de vous fournir une version conforme au RGPD, vous permettant d’effectuer vous-même les traitements devenus obligatoires, tel que la pseudonymisation des données anciennes. Il doit, en cas d’audit, démontrer que son produit a été conçu avec le souci de protection de ces données (« privacy by design »). Il est donc nécessaire, ne serait-ce que pour ces raisons, d’obtenir un engagement de sa part ;
2) Un contrat de licence s’accompagne généralement de deux types de prestations, au titre desquelles l’éditeur (ou l’intégrateur) peut avoir accès à vos données :
- Du conseil (assistance et formation) à l’implantation de la solution, à la mise en œuvre de nouvelles versions ;
- De la maintenance du logiciel, se traduisant principalement par la mise à disposition de nouvelles versions et par la correction des bogues détectés. Il n’est pas rare que l’éditeur vous demande pour cette correction un accès à distance au logiciel ou une copie de votre base de production.
Un éditeur on-premise est un sous-traitant qui s’ignore…
L’éditeur est, pour ces prestations, votre sous-traitant : vous lui confiez des travaux que théoriquement vous pourriez effectuer vous-même.
Il est au final préférable de considérer tous les éditeurs comme des sous-traitants réels ou potentiels, et de les interpeller sur ce sujet.
Hébergement ou SaaS : l’éditeur est sous-traitant
Avec ces deux modes vos données personnelles sortent de votre périmètre de contrôle : leur traitement est sous-traité, au moins en partie, à un tiers. Ce dernier est en général l’éditeur, mais peut également être un hébergeur, n’assurant que l’exploitation des serveurs utilisés par la solution.
Que faire concrètement ?
Il convient dans les trois modes d’utilisation ci-dessus de préciser vos relations contractuelles avec les éditeurs concernés. Un « Avenant RGPD »
- Définira ainsi les rôles de chacun (Responsable du Traitement et sous-traitant)
- Précisera le traitement : nature, finalité, données traitées
- Listera les obligations respectives des parties : confidentialité, durée de rétention, registre des traitements.
Certains éditeurs français, dont DiliTrust, ont pris l’initiative de proposer un tel avenant à leurs clients. Le texte de référence est le Guide du sous-traitant de la CNIL. Leurs contrats d’origine, de droit français, incluait déjà des clauses relatives aux données personnelles issues de la loi Informatique et Liberté de 1978 : le RGPD ne fait qu’étendre et préciser des concepts et obligations déjà en vigueur. La mise en conformité de ces contrats par avenant sera simple.
Le cas est différent pour les éditeurs non européens, et notamment les américains : la notion de protection des données personnelles est absente de leur culture… la tendance étant plutôt à la monétisation à leur profit desdites données !
Attention aux américains !
Les contrats de licence ou de SaaS américains seront donc à revoir en profondeur. La position de ces éditeurs face au RGPD est d’abord défensive : la protection des données peut mettre à mal certains modèles économiques, où vous bénéficiez d’un service à faible coût en échange d’une utilisation de vos données par l’éditeur. N’attendez pas de leur part une grande proactivité sur les garanties qu’ils sont disposés à vous apporter. Dans certains cas leur position peut vous mettre en défaut sur le RGPD, et le changement de fournisseur est alors à envisager.
Les « Data Processing Addendum » de certains acteurs SaaS américains… ne vous garantissent au final aucune conformité RGPD ! Voyez à ce sujet, concernant Salesforce, l’analyse édifiante d’un avocat.
En résumé
Les éditeurs français sérieux devraient vous proposer un Avenant de mise en conformité au plus tard fin avril prochain. Si ce n’était pas le cas sollicitez les. Leur proposition, en général basée sur la recommandation CNIL, devrait vous convenir sans analyse ou négociation complémentaire.
Les éditeurs américains, fidèles à leurs habitudes, vont sans doute tenter de vous faire accepter par défaut de nouvelles conditions générales, et/ou un Data Processing Addendum : vérifiez dans le détail la conformité de ce document, exigez éventuellement une version en français, soumise au droit français : la minimisation de votre risque RGPD est à ce prix. Si vous ne disposez pas en interne des compétences juridiques n’hésitez pas à en solliciter à l’extérieur : tous les cabinets d’avocats de la place se sont rués sur ce créneau, vous n’aurez que l’embarras du choix !
Vous êtes client DiliTrust ?
Acteur majeur de la Gouvernance DiliTrust a intégré depuis l’origine la notion de protection des données personnelles dans ses produits. Toutes nos offres assurent ou permettent de traiter les fonctions nouvelles requises par le RGPD.
La société a amendé depuis fin 2017 ses Conditions Générales, pour y inclure des articles spécifiques au RGPD, sur la base des documents CNIL. Les clients récents bénéficient donc d’un contrat conforme. Une note d’information a été diffusée auprès des clients et des webinaires ont été organisés pour vous permettre d’aborder sereinement la mise en oeuvre de ces obligations.
L’éditeur propose à ses anciens clients, quel que soit leur mode d’utilisation de l’application ou du service, un avenant RGPD, également basé sur les documents CNIL. Contactez-nous pour l’obtenir ou consultez notre site pour plus d’information.
Sources :
Forbes : Latest-enterprise-application-use-survey
ChiefMartec : Average-enterprise-uses-514-cloud-services/
CNIL : RGPD – Guide du sous-traitant
Marc-Antoine Ledieu, avocat : Quelle conformité GDPR des contrats BtoB ?
Compléments d’information :
RGPD : texte intégral en français
CNIL : Le RGPD
DiliTrust : Three stages when welcoming the GDPR