[Fiche pratique ] RGPD et choix d'un logiciel SaaS : les bonnes questions
![[Fiche pratique ] RGPD et choix d'un logiciel SaaS : les bonnes questions](https://www.decision-achats.fr/Assets/Img/BREVE/2018/6/331855/Fiche-pratique-RGPD-choix-logiciel-SaaS-bonnes-questions-F.jpg)
Il convient, dans les contrats SaaS, de préciser expressément les engagements pris par le fournisseur au titre du RGPD. Nous résumons ici, en huit points, les questions à insérer impérativement dans vos cahiers des charges.
Je m'abonneLa démarche de sélection d'une application SaaS, quelle qu'elle soit, débute souvent par la rédaction d'un cahier des charges à destination des éditeurs pressentis. Cet article reprend le contexte et les enjeux d'un tel projet, puis liste une série de questions fonctionnelles, techniques et relatives à la pérennité du fournisseur.
Les questions historiques liées aux données personnelles étaient traditionnellement posées dans la section technique, sous un angle normatif : l'entreprise est-elle certifiée ISO27001 ? Les données sont-elles chiffrées en 256 bits ? Peu de questions concernaient le respect de la loi Informatique et Liberté, car ce n'était pas, jusqu'à la mise en application du RGPD, de la responsabilité du client de vérifier le respect de la loi par son fournisseur.
Le RGPD impose aux clients de nouvelles obligations en ce sens : ils doivent s'assurer du respect du RGPD par leur fournisseur (article 28). Les sanctions sont considérablement renforcées, avec un risque de 4% du CA global, plafonné à 20 M€. Le choix d'un prestataire doit donc intégrer cette obligation.
La récente condamnation de Darty par la CNIL a confirmé cette approche : le client (Darty) a été condamné, sans pouvoir se défausser sur son fournisseur (Eptica 1). Il convient donc, dans les contrats SaaS, de préciser expressément les engagements pris par le fournisseur au titre du RGPD. Nous résumons ici, en huit points, les questions à insérer impérativement dans vos cahiers des charges.
1. L'hébergement des données est il en Europe, backups inclus ?
Le RGPD restreint très fortement l'export de données personnelles hors d'Europe. Il est donc de bonne pratique de vérifier que les serveurs de l'éditeur sont situés en Europe (en excluant le Royaume Uni, qui ne sera plus européen en mars 2019 !). Cette contrainte concerne également les serveurs de sauvegarde, dont la localisation est parfois négligée.
Le transfert de données hors d'Europe à l'initiative du fournisseur (changement d'hébergeur par exemple) doit être soumis à votre autorisation expresse préalable ou vous être notifié en vous permettant de résilier le contrat sans préavis.
2. L'éditeur a-t-il des liens avec les Etats-Unis ?
Nous retrouvons ici le bon vieux Patriot Act (renommé Freedom Act). Pour faire court, la justice américaine peut demander à un éditeur américain, même dans le cas où sa filiale et/ou les données ne sont pas localisées aux Etats-Unis, de communiquer les données en sa possession. Le Privacy Shield a confirmé cette possibilité, certes encadrée, mais réelle. Les juristes considèrent ce risque comme majeur, comme l'a confirmé l'affaire Microsoft Irlande de 2014, toujours en cours 2. Leur recommandation est claire : éviter si possible de confier des données personnelles à des filiales de groupes américains.
3. L'éditeur s'engage-t-il à vous informer des violations ?
Le RGPD vous donne 72 heures pour notifier à la CNIL tout vol de données personnelles. Si ces données sont confiées à un éditeur SaaS, seul ce dernier aura connaissance d'une violation de sécurité. Il doit donc vous la notifier très rapidement, de manière documentée, pour transfert de votre part à la CNIL si vous le jugez nécessaire.
4. La sous-traitance est-elle soumise à autorisation ?
Les contrats SaaS actuels, notamment anglo-saxons, sont soit muets sur ce point, soit autorisent par défaut la sous-traitance par le prestataire de tout ou partie des services prestés. C'est souvent le cas pour l'hébergement ou la hotline, ainsi que pour les éventuelles prestations de paramétrage ou d'intégration.
Le RGPD impose au client d'autoriser toute sous-traitance par le fournisseur à un tiers. Le contrat SaaS doit donc intégrer une clause explicite en ce sens.
5. La hot-line est-elle en Europe ?
La question du support est souvent négligée, mais elle n'est pas anodine : le traitement d'un incident peut nécessiter l'envoi au prestataire d'un fichier, d'une copie d'écran contenant des données personnelles. Si le support est en Inde ou au Maroc vos données sortent d'Europe !
Vérifiez donc la localisation des équipes support, en vous méfiant des supports 24/24, qui font en général appel à des équipes géographiquement distantes. Posez également la question du transfert sécurisé de vos incidents au support : l'envoi avec Gmail ou Outlook d'une copie d'écran permettant au support de qualifier votre problème constitue, s'il contient des données personnelles, une violation du RGPD. Ce transfert doit en ce cas être effectué via une application spécifique3.
Lire la suite en page 2 : 6. Les données personnelles gérées sont-elles limitées ? - 7. Les données peuvent-elles être pseudonymisées ? - 8. Le droit d'information des utilisateurs est-il géré ?
6. Les données personnelles gérées sont-elles limitées ?
Le RGPD est clair sur ce point : seules les données personnelles nécessaires à la finalité du traitement doivent être collectées et stockées. Cette question doit être posée dès la conception de l'application (Privacy by Design) : ai-je besoin de connaître la date de naissance de mon utilisateur dans une application de CRM ? Le statut marital d'un collaborateur est-il utile dans un logiciel de gestion de projets ?
L'éditeur doit préciser la liste exhaustive des données personnelles gérées, et il est de votre responsabilité de vérifier qu'aucune donnée inutile n'est demandée.
7. Les données peuvent-elles être pseudonymisées ?
La plupart des applications intègrent des fonctions statistiques, portant notamment sur des données historiques. Le nombre mensuel de tickets SAV sera par exemple conservé durant plusieurs années pour analyser les pics saisonniers et mieux gérer le service.
L'une des possibilités pour conserver, au-delà d'un délai utile lié à la nature du traitement, des données personnelles est de les pseudonymiser et/ou de les anonymiser (ce dernier processus étant irréversible, contrairement au premier). S'il est utile de connaître l'évolution sur cinq ans des tickets SAV dans notre exemple, connaître l'identité des clients ayant soumis un ticket il y a cinq ans n'a que peu d'intérêt, et risque d'être considéré comme non conforme par la CNIL. L'application doit donc disposer d'une fonction d'anonymisation permettant d'utiliser à des fins statistiques des données anciennes, sans leur conserver un caractère personnel.
Cette possibilité doit être associée à la fonction de purge, généralement disponible dans les applications : suppression complète de toutes les données personnelles après un certain délai.
8. Le droit d'information des utilisateurs est-il géré ?
Le RGPD reprend, en les renforçant, les obligations des entreprises vis-à-vis des personnes leur confiant des données personnelles.
En souscrivant une application SaaS les entreprises sous-traitent à l'éditeur le traitement de ces données, et notamment la possibilité pour la personne concernée de saisir directement ses données dans l'application, en général par un formulaire.
La mention du droit à l'information doit, dans le formulaire ou dans les conditions d'utilisation, être complet. Il convient par exemple, au titre de l'article 13 du RGPD, de préciser la finalité de la collecte d'information : pourquoi demande-t-on cette donnée personnelle ?
Le prestataire SaaS doit donc vous offrir la possibilité de personnaliser le texte de ces formulaires, et d'insérer un renvoi à une page détaillant la finalité de la collecte.
En résumé
Le choix du meilleur prestataire SaaS est, depuis le 25 mai 2018, conditionné à des critères juridiques souvent sous-estimés jusqu'alors. Au-delà des fonctionnalités proposées il est désormais majeur de juger de la qualité d'une offre sur sa conformité au RGPD. Cette dernière passe par des réponses précises à des questions concrètes, et par la reprise des engagements de l'éditeur dans le contrat proposé. Analysez ce document en amont de la phase d'évaluation, et vérifiez la présente des clauses RGPD au sein de ce dernier. La CNIL propose dans son guide du sous-traitant des modèles de clauses : le plus simple, pour éviter tout risque, est de les voir reprendre dans le contrat proposé.
Les juristes doivent être pour cela intégrés dans l'équipe de sélection, et la pondération des critères de choix privilégier sur la conformité RGPD.
Par Yves Garagnon, directeur général de DiliTrust
Éditeur et intégrateur de logiciels, DiliTrust propose une gamme complète de solutions et de services dédiés à la Gouvernance d'entreprise et au partage sécurisé de données sensibles et confidentielles
(1) https://www.cnil.fr/fr/darty-sanction-pecuniaire-pour-une-atteinte-la-securite-des-donnees-clients
(3) Telle que DiliTrust MFT : https://www.dilitrust.com/solution/mft/
![[Tribune] L'IA au service des IA (Ingénieurs d'Affaires)](https://cdn.edi-static.fr/image/upload/c_scale,h_97/c_crop,w_97/f_auto,q_auto/v1/Img/BREVE/2024/3/457374/Tribune-service-Ingenieurs--L.jpg)
![[IT] De la bonne préparation d'un projet SRM : prérequis et bonnes pratiques](https://cdn.edi-static.fr/image/upload/c_scale,h_97/c_crop,w_97/f_auto,q_auto/v1/Img/BREVE/2024/2/399624/bonne-preparation-projet-SRM-L.jpg)
![[Achats, DSI & Éditeurs] Quand les acheteurs en appellent au dialogue](https://cdn.edi-static.fr/image/upload/c_scale,h_97/c_crop,w_97/f_auto,q_auto/v1/Img/BREVE/2023/11/386212/Boss-with-employees-L.jpg)
