RGPD et contrats informatiques

RGPD et contrats informatiques

Les nouvelles problématiques liées à la réglementation européenne sur la protection des données à caractère personnel (RGPD).

Que vous soyez éditeurs de logiciels ou fournisseurs d’applications, en mode déployé ou SaaS, la conformité au RGPD fait désormais partie des préoccupations et exigences quasi-systématiques de vos clients et prospects. Les questions sur le niveau de conformité RGPD entrent en jeu dès le stade de l’appel d’offre et se retrouvent lors de la rédaction des clauses de données personnelles et de responsabilité, dans les contrats de licence, maintenance, support, hébergement et autres contrats informatiques.

Répondre à ces questions présuppose une excellente maîtrise de la réglementation sur la protection des données, ainsi qu’une connaissance approfondie des logiciels, applications et autres services informatiques proposés par la société. Vous devez également être en mesure d’identifier et de sécuriser l’ensemble des flux de données à caractère personnel qui font l’objet d’un traitement par votre société dans le cadre de son activité (en tant que responsable de traitement ou sous-traitant).

L’objectif principal est de démontrer à vos clients et prospects votre alignement en matière de protection des données à caractère personnel.

Vous devez en outre être en mesure de garantir à vos clients (le responsable de traitement) que l’ensemble de vos collaborateurs et sous-traitants sont soumis aux mêmes obligations de protection des données à caractère personnel. Pour ce faire, vous serez amenés à procéder à la révision de vos contrats (contrats de travail, client, fournisseurs, sous-traitants, etc) et à insérer des clauses contractuelles adaptées aux exigences de la nouvelle réglementation sur la protection des données à caractère personnel.

Les éditeurs de solutions logicielles en mode déployé/ SaaS – Privacy by Design et Privacy by Default

Le RGPD a introduit un certain nombre de nouveaux critères que les sociétés doivent désormais prendre en considération lors de l’évaluation des solutions logicielles qu’elles désirent acquérir. Ces critères auront une importance décisive lors du choix final de votre client pour une solution plutôt que celle d’un concurrent.

Solutions en mode déployé ou en mode SaaS, dans les deux cas les éditeurs devront s’assurer de la conformité de leurs solutions et entreprendre les évolutions nécessaires le cas échéant.

Le RGPD introduit notamment le principe de « Privacy by Design » qui se doit d’être connu de tout éditeur de solutions logicielles. En vertu de ce principe, l’éditeur de logiciel doit prendre en compte la protection des données personnelles dès la conception de toute solution impliquant un traitement de données personnelles. Il s’agit de mettre en place des mesures préventives pour éviter les violations de données personnelles. Parmi ces exigences, on compte notamment la pseudonymisation, la limitation de la collecte des données aux finalités, la gestion des droits des personnes concernées, la réalisation d’études d’impact (PIA), etc.

L’éditeur de solutions en mode SaaS se verra en outre ajouter des obligations liées à la confidentialité et à la sécurité des données personnelles. Il devra mettre en place des mesures appropriées tant sur le plan technique que sur le plan organisationnel, dans le but de garantir un niveau de sécurité adapté pour sa plateforme et les accès à cette dernière. L’éditeur en mode SaaS sera également tenu de respecter les durées de conservation et de supprimer de ses serveurs toutes données personnelles dès lors qu’il n’y a plus lieu de les conserver.

La conformité au RGPD implique également le respect de l’ensemble des bonnes pratiques en matière de sécurité informatique dès la conception de toute solution, afin de garantir l’intégrité et la confidentialité des données.

Ce principe de Privacy by Design implique plus de transparence pour l’éditeur de logiciel et instaure un climat de confiance pour ses clients.

Une fois la solution rendue publique ou commercialisée, l’éditeur doit respecter un second principe édicté par le RGPD, la « Privacy by Default ». Ce principe implique que toutes les fonctionnalités répondant aux standards en matière de protection des données personnelles, soient par défaut activées.

Un avantage concurrentiel

Une maîtrise du RGPD et des principes énoncés ci-dessus, permet de générer confiance et fiabilité auprès de vos clients et prospects.

La conformité de vos solutions, produits et services, ainsi que votre capacité à prouver votre engagement vers plus de transparence et en faveur de la préservation de la vie privée, peut rapidement devenir un atout qui vous permettra de fidéliser vos clients, de réduire les taux d’attrition et de vous distinguer de la concurrence !

 Un DPO de transition, dédié à votre entreprise

Afin de vous assister dans votre mise en conformité RGPD et vous permettre de transformer ses règles contraignantes en un avantage concurrentiel pour votre société, le Cabinet Desclèves Rousseau vous propose les services d’un DPO de transition spécialisé dans le domaine de la protection des données à caractère personnel.