Menu
Avant d’expliquer comment mettre en conformité RGPD un logiciel Saas, il faut comprendre pourquoi le modèle d’éditeur bascule de plus en plus vers un modèle de logiciel Saas.
Ces dernières années, une grande partie des éditeurs a décidé d’initier ou d’accélérer leur transformation. En effet, le modèle éditeur classique répond de moins en moins aux attentes des clients que cela soit en B2B ou B2C.
Le client ne souhaite plus réaliser d’installation de logiciels et de posséder ou administrer l’infrastructure lui-même. C’est le cas lorsque le logiciel est “on-premise”, c’est-à-dire sur les serveurs du client. Il ne souhaite plus réaliser des évolutions de version qui lui coûtaient une charge importante. Il souhaite également basculer sur un modèle “pay as you go” ou “pay per use”, beaucoup plus flexible qu’un achat de licence long terme. Cela revient à payer à l’usage ou au nombre d’utilisateurs.
Les plateformes Saas répondent en tous points aux attentes. Au point que la majeure partie des services digitaux sont délivrés ainsi. On peut bien sûr exclure des logiciels métiers spécifiques, customisés notamment dans l’industrie pour lesquels ce modèle est moins adapté.
Pour les éditeurs de logiciels, il s’agit d’un changement de métier car ils évoluent du rôle de vendeurs de solutions exploitées par le client lui-même en autonomie à un fournisseur de service par le SaaS (Software as a Service).
La plateforme SaaS doit à présent fournir et gérer l’infrastructure, réaliser le stockage des données, la sécurité globale et mettre en place une facturation d’un nouveau type.
C’est finalement une opportunité sans précédent puisque cela va également lui permettre de monitorer les usages sur la plateforme. Permettant ainsi des évolutions plus ciblés, pertinentes pour les utilisateurs.
Les risques liés aux données personnelles augmentent significativement. Vous devez adapter votre conformité aux nouveaux enjeux. Chez Dipeeo, nous pensons que les risques les plus importants viennent :
En tant qu’éditeur, la conformité RGPD du logiciel est principalement supportée par le client (bien que cela soit variable en fonction des contrats). Aujourd’hui, en tant que Saas, vous devez vous assurer vous-même de la conformité RGPD de l’outil que vous mettez à disposition.
Pour cela, il est recommandé d’utiliser le principe de “privacy-by-design”. Cela consiste à prendre en compte les règles RGPD dès la conception. Cela permet de développer un outil conforme dès le début et évite des corrections. Cependant, il est également possible de réaliser un audit de conformité de l’application et de réaliser un plan correctif à déployer.
L’information des personnes est un point clé. Vous devez informer les utilisateurs des données collectées, leur utilisation, les durées de conservation et les droits des utilisateurs vis-à-vis de leurs données.
Que les règles sur les données personnelles soient respectées au sein de l’outil. Par exemple, seules les données personnelles nécessaires au service doivent être collectées. Les durées de conservation des données doivent être respectées. Par exemple, au bout de combien de temps les données d’un utilisateur désinscrit sont supprimées ? La collecte de certaines données peut également nécessiter un consentement.
Les prestataires techniques de l’outil digital qui effectuent un traitement sur les données personnelles doivent être en conformité RGPD. Tous les SaaS ont des prestataires techniques. Il s’agit par exemple de l’hébergeur de données, de l’authentification, la facturation… Ils doivent donc être audités pour vérifier leur conformité et le fait qu’ils prennent la responsabilité en cas de fuite de données. En effet, vous ne pouvez pas garantir la sécurité de l’ensemble de leurs outils.
Les transferts de données hors Union Européenne. Au sein de vos prestataires, certains sont susceptibles de stocker leurs données en dehors de l’Union européenne. Par principe, cela est interdit par le RGPD. Il existe des exceptions pour les transferts de données vers des zones où les règles sont aussi strictes. Sinon, il faut encadrer ce transfert de données par un document juridique adapté pour le permettre. C’est un cas assez classique notamment vers les États-Unis car de nombreux outils très répandus sont américains.
Il faut savoir que la nomination d’un DPO est obligatoire dans certains cas pour être en conformité RGPD. Notamment si vous traitez des données personnelles sensibles ou réalisez un service de suivi régulier (par exemple les banques ou assurances). Enfin, si vous êtes un organisme public.
Vous traitez des données personnelles pour le compte de vos clients si vous vendez en B2B. Vous devenez sous-traitants au sens du RGPD des données personnelles de vos clients. (sous-titre)
Certaines mentions doivent être présentes dans les CGV pour indiquer le statut de sous-traitant. Vous devrez y indiquer et prendre la responsabilité en cas de fuite de données chez vous. En effet, votre client ne peut pas assurer lui-même la sécurité des données ou la mise en place des bons processus RGPD dans votre outil. Vous devrez donc porter cette responsabilité.
Dans le cadre de la conformité RGPD de vos clients, ils ont l’obligation de vérifier que leurs prestataires, sous-traitants, respectent le RGPD. Ils réalisent donc des audits de conformité RGPD via leur DPO interne ou externe.
Cela consiste généralement en une liste de questions à répondre et les documents de conformité RGPD à fournir. Par exemple, la politique de confidentialité qui informe les utilisateurs sur les données collectées, leur utilisation et les droits des utilisateurs.
Il sera également demandé un rapport de Privacy by design qui indique que l’application est conforme ou qu’un plan d’action correctif est en cours.
Vous devez assurer la sécurité technique de votre outil qui est à présent ouvert et accessible depuis le web
En conclusion, une plateforme SaaS est au cœur des risques et enjeux RGPD puisqu’elle est, par essence, un outil de traitement de données, très souvent personnelles.
Vous avez de nouvelles responsabilités et vous devez donc adapter votre conformité RGPD. Mais pas d’inquiétude, avec une approche cadrée et un DPO de qualité, cela se passe très bien. Les retours d’expériences montrent d’ailleurs que cela fait partie de la montée en maturité sur la maîtrise des données.
Dipeeo accompagne des plateformes SaaS dans leur conformité RGPD. Dipeeo est nommé DPO auprès de la CNIL et traite l’ensemble des sujets RGPD pour le client dans un forfait mensuel tout inclus. 👉
Conformité RGPD logiciel Saas
Un questionnaire de 40 min pour alimenter votre DPO dédié.
Une mise en œuvre rapide, pour une conformité totale.
Un interlocuteur officiel pour votre entreprise, référent pour la CNIL.
Dipeeo prend la responsabilité de votre conformité RGPD.
Dipeeo réalise tous les livrables nécessaires à votre conformité.
Forfait mensuel tout inclus. Aucun devis complémentaire.
Une offre DPO externe dédié “tout inclus” qui s’adapte à vos évolutions futures sans aucun frais complémentaire.
Ou appelez nous directement au
+33 01 59 06 81 85
Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.
01 59 06 81 85
