Logo Dipeeo - Votre DPO externe

Comment mettre en conformité RGPD un logiciel Saas ?

RGPD logiciel Saas

Découvrez les points clés de la conformité RGPD d'un logiciel Saas. L'évolution des risques, le rôle de sous-traitant, les nouvelles responsabilités par rapport à un éditeur.

Du modèle d’éditeur à celui de logiciel Saas🚀

Avant d’expliquer comment mettre en conformité RGPD un logiciel Saas, il faut comprendre pourquoi le modèle d’éditeur bascule de plus en plus vers un modèle de logiciel Saas.

Ces dernières années, une grande partie des éditeurs a décidé d’initier ou d’accélérer leur transformation. En effet, le modèle éditeur classique répond de moins en moins aux attentes des clients que cela soit en B2B ou B2C.

Le client ne souhaite plus réaliser d’installation de logiciels et de posséder ou administrer l’infrastructure lui-même. C’est le cas lorsque le logiciel est “on-premise”, c’est-à-dire sur les serveurs du client. Il ne souhaite plus réaliser des évolutions de version qui lui coûtaient une charge importante. Il souhaite également basculer sur un modèle “pay as you go” ou “pay per use”, beaucoup plus flexible qu’un achat de licence long terme. Cela revient à payer à l’usage ou au nombre d’utilisateurs.

Les plateformes Saas répondent en tous points aux attentes. Au point que la majeure partie des services digitaux sont délivrés ainsi. On peut bien sûr exclure des logiciels métiers spécifiques, customisés notamment dans l’industrie pour lesquels ce modèle est moins adapté.

Changement de métier : Software as a Service 📜

Pour les éditeurs de logiciels, il s’agit d’un changement de métier car ils évoluent du rôle de vendeurs de solutions exploitées par le client lui-même en autonomie à un fournisseur de service par le SaaS (Software as a Service).

La plateforme SaaS doit à présent fournir et gérer l’infrastructure, réaliser le stockage des données, la sécurité globale et mettre en place une facturation d’un nouveau type.

C’est finalement une opportunité sans précédent puisque cela va également lui permettre de monitorer les usages sur la plateforme. Permettant ainsi des évolutions plus ciblés, pertinentes pour les utilisateurs.

Impact sur les données personnelles 🧐

Evolution des risques liés aux données personnelles 🔥

Les risques liés aux données personnelles augmentent significativement. Vous devez adapter votre conformité aux nouveaux enjeux. Chez Dipeeo, nous pensons que les risques les plus importants viennent :

  • des sous-traitants techniques notamment en cas de fuite de données chez eux
  • de vos prospects et clients qui vont à présent quitter votre SaaS ou même ne pas s’y intéresser pour cause de non-conformité car cela fait partie, à présent de leurs critères.
  • D’un contrôle CNIL
rgpd logicile SaaS - Dipeeo

Vous êtes responsable de la conformité RGPD du logiciel Saas ✅

En tant qu’éditeur, la conformité RGPD du logiciel est principalement supportée par le client (bien que cela soit variable en fonction des contrats). Aujourd’hui, en tant que Saas, vous devez vous assurer vous-même de la conformité RGPD de l’outil que vous mettez à disposition.

Pour cela, il est recommandé d’utiliser le principe de “privacy-by-design”. Cela consiste à prendre en compte les règles RGPD dès la conception. Cela permet de développer un outil conforme dès le début et évite des corrections. Cependant, il est également possible de réaliser un audit de conformité de l’application et de réaliser un plan correctif à déployer.

 

Plusieurs point à vérifier pour s'assurer de la conformité RGPD du logiciel Saas

L’information des personnes est un point clé. Vous devez informer les utilisateurs des données collectées, leur utilisation, les durées de conservation et les droits des utilisateurs vis-à-vis de leurs données.

Que les règles sur les données personnelles soient respectées au sein de l’outil. Par exemple, seules les données personnelles nécessaires au service doivent être collectées. Les durées de conservation des données doivent être respectées. Par exemple, au bout de combien de temps les données d’un utilisateur désinscrit sont supprimées ? La collecte de certaines données peut également nécessiter un consentement.

Les prestataires techniques de l’outil digital qui effectuent un traitement sur les données personnelles doivent être en conformité RGPD. Tous les SaaS ont des prestataires techniques. Il s’agit par exemple de l’hébergeur de données, de l’authentification, la facturation…  Ils doivent donc être audités pour vérifier leur conformité et le fait qu’ils prennent la responsabilité en cas de fuite de données. En effet, vous ne pouvez pas garantir la sécurité de l’ensemble de leurs outils.

Les transferts de données hors Union Européenne. Au sein de vos prestataires, certains sont susceptibles de stocker leurs données en dehors de l’Union européenne. Par principe, cela est interdit par le RGPD. Il existe des exceptions pour les transferts de données vers des zones où les règles sont aussi strictes. Sinon, il faut encadrer ce transfert de données par un document juridique adapté pour le permettre. C’est un cas assez classique notamment vers les États-Unis car de nombreux outils très répandus sont américains.

Il faut savoir que la nomination d’un DPO est obligatoire dans certains cas pour être en conformité RGPD. Notamment si vous traitez des données personnelles sensibles ou réalisez un service de suivi régulier (par exemple les banques ou assurances). Enfin, si vous êtes un organisme public.

rgpd logicile SaaS - Dipeeo

Vous devenez sous-traitant 🔥

Vous traitez des données personnelles pour le compte de vos clients si vous vendez en B2B. Vous devenez sous-traitants au sens du RGPD des données personnelles de vos clients. (sous-titre)

  • Le fait d’être sous-traitant impose quelques règles à respecter

Certaines mentions doivent être présentes dans les CGV pour indiquer le statut de sous-traitant. Vous devrez y indiquer et prendre la responsabilité en cas de fuite de données chez vous. En effet, votre client ne peut pas assurer lui-même la sécurité des données ou la mise en place des bons processus RGPD dans votre outil. Vous devrez donc porter cette responsabilité.

  • Vous serez audité par vos clients

Dans le cadre de la conformité RGPD de vos clients, ils ont l’obligation de vérifier que leurs prestataires, sous-traitants, respectent le RGPD. Ils réalisent donc des audits de conformité RGPD via leur DPO interne ou externe.

Cela consiste généralement en une liste de questions à répondre et les documents de conformité RGPD à fournir. Par exemple, la politique de confidentialité qui informe les utilisateurs sur les données collectées, leur utilisation et les droits des utilisateurs.

Il sera également demandé un rapport de Privacy by design qui indique que l’application est conforme ou qu’un plan d’action correctif est en cours.

Assurer la sécurité technique de votre outil 🔒

Vous devez assurer la sécurité technique de votre outil qui est à présent ouvert et accessible depuis le web

  • Vous avez la main à 100% sur l’ensemble de votre outil. Vous devez donc mettre en place le système de sécurité suffisant selon les standards actuels et la criticité de vos données (notamment renforcé dans la cas d’utilisation de données sensibles). 
  • Type de sujets techniques qui devront être abordé : La gestion des mots de passe, le chiffrement, serveur de secours, sécurisation “https”, outil de monitoring de la sécurité…
rgpd logicile SaaS - Dipeeo

✨ Conclusion ✨

En conclusion, une plateforme SaaS est au cœur des risques et enjeux RGPD puisqu’elle est, par essence, un outil de traitement de données, très souvent personnelles.

Vous avez de nouvelles responsabilités et vous devez donc adapter votre conformité RGPD. Mais pas d’inquiétude, avec une approche cadrée et un DPO de qualité, cela se passe très bien. Les retours d’expériences montrent d’ailleurs que cela fait partie de la montée en maturité sur la maîtrise des données.

Dipeeo accompagne des plateformes SaaS dans leur conformité RGPD. Dipeeo est nommé DPO auprès de la CNIL et traite l’ensemble des sujets RGPD pour le client dans un forfait mensuel tout inclus. 👉

Conformité RGPD logiciel Saas

Vous êtes à la recherche d’un DPO externe ? 

Nous sommes là pour vous aider. 

Pour en savoir plus, prenez un RDV avec l'un de nos experts !

Tous nos DPO sont certifiés par l'AFNOR et justifient d'une
expérience significative

Témoignages de nos clients

Play Video about Témoignage client Leadjet

Startup Tech

Play Video about Temoignage3-BGE-PaRIF-dpo-externe

Association

Play Video about Temoignage2-Econhomes-dpo-externe.png

Startup Immobilier

Play Video about Temoignage-Tour-dArgent-dpo-externe.png

Groupe de restauration

Envie de découvrir
Dipeeo ?
Demander une démo !

Nous sommes disponibles pour échanger sur vos besoins
et vous présenter le service de DPO externalisé Dipeeo
 
Votre DPO externalisé réalise votre mise en conformité et traite
tous les sujets RGPD au quotidien

Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.