L’entrée en application du RGPD a renforcé le cadre juridique relatif à la protection des données personnelles. Les obligations des différents acteurs intervenant dans un traitement de données personnelles ont été alourdies. On distingue le responsable de traitement qui détermine les finalités et les moyens d’un traitement du sous-traitant qui agit pour le compte du responsable de traitement dans le cadre d’une prestation ou d’un service. Traitant des données personnelles, les éditeurs de logiciels sont concernés par ces nouvelles dispositions. Ils sont soumis au RGPD dès lors qu’ils se trouvent sur le territoire de l’Union européenne ou qu’ils ciblent des personnes qui résident dans l’Union européenne. Les obligations à la charge de ces fournisseurs sont nombreuses et dépendent de leur qualification dans le cadre du traitement. Au même titre que les éditeurs de logiciel, les utilisateurs de ces solutions sont soumis à un certain nombre d’exigences.
Les obligations des éditeurs de logiciels
Un fournisseur de service est en premier lieu qualifié de sous-traitant. En effet, dans le cas où le client qui utilise la solution collecte et traite des données personnelles via la solution, l’éditeur intervient pour son compte. Celui-ci agit dès lors en tant que sous-traitant et le client en tant que responsable de traitement.
L’éditeur de la solution peut intervenir en tant que responsable de traitement pour certains traitements. Il s’agit des traitements qu’il effectue pour son propre compte et pour lesquels il détermine les finalités et les moyens. Tel est, par exemple, le cas des traitements mis en place dans le cadre du support mis à disposition des clients.
- Mettre en place un contrat de sous-traitance
La relation de sous-traitance entre l’éditeur de logiciel et son client doit être encadrée au titre de l’article 28 du RGPD par un contrat ou autre acte juridique. Un certain nombre de clauses obligatoires doivent ainsi être intégrées. Celles-ci concernent notamment l’objet et la durée du traitement, sa nature et sa finalité, le type des données personnelles concernées, les catégories des personnes concernées, les obligations du sous-traitant, les obligations du responsable de traitement, les mesures de sécurité mises en place, la gestion du recours éventuel à d’autres sous-traitants, la notification des violations de données, les modalités de restitution des données à la fin du contrat.
- Ne recourir qu’à des sous-traitants conformes
L’éditeur de logiciel ne doit recourir à d’autres sous-traitants qu’après avoir eu l’autorisation écrite du responsable de traitement. Il doit ainsi informer le responsable de traitement pour tout changement prévu dans les sous-traitants et ce dernier pourra s’y opposer. Ces sous-traitants ultérieurs sont soumis aux mêmes obligations que celles fixées dans le contrat de sous-traitance principale. Ils doivent notamment présenter des garanties suffisantes quant à la protection des données personnelles et à la mise en œuvre des mesures techniques et organisationnelles appropriées.
- Conseiller et aider son client
L’éditeur de logiciel a une obligation de conseil vis-à-vis de son client. Il doit l’aider dans le cadre du respect des obligations sur la sécurité, celles liées à la notification en cas de violation des données, la réalisation du PIA. Il doit par ailleurs veiller, au terme de la prestation, à supprimer les données personnelles ou à les lui renvoyer, selon sa volonté, et à détruire toutes les copies existantes. Il doit également mettre à la disposition de son client les informations nécessaires lui permettant de démontrer le bon respect par l’éditeur de l’ensemble des obligations auxquelles il est soumis. Il ne doit toutefois traiter les données personnelles que sur instruction de son client et l’informer dans le cas où une instruction lui semble constituer une violation des règles sur la protection des données personnelles. Il doit enfin le notifier de toute violation de données personnelles dans les meilleurs délais après en avoir pris connaissance.
- Assurer un hébergement conforme des données
Par ailleurs, l’éditeur de logiciel doit assurer un hébergement conforme des données personnelles. Dans le cas où l’hébergeur désigné se trouve hors Union européenne, voire dans un pays non reconnu comme étant adéquat, des garanties suffisantes doivent être mises en place pour permettre un transfert en conformité avec les règles liées à la protection des données personnelles.
- Respecter le principe de privacy by design
L’éditeur de logiciel doit, dès la conception du produit, veiller au bon respect du principe de privacy by design. La prise en compte des différentes obligations doit se faire à chaque étape de la conception et les exigences concernées doivent être intégrées dans le système.
Les obligations des utilisateurs de logiciels
Comme tout organisme traitant des données personnelles, l’utilisateur d’une solution doit respecter l’ensemble des obligations du RGPD. Il doit ainsi notamment :
- Tenir la documentation nécessaire en interne décrivant les traitements ainsi que les mesures prises pour assurer la conformité des traitements de données personnelles
- Désigner un DPO dans le cas où il est soumis à cette obligation
- Définir les procédures pour le respect des droits des personnes
- Réaliser un PIA pour les traitements susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes
- Ne recourir qu’à des sous-traitants mettant en place des mesures techniques et organisationnelles suffisantes
- S’assurer de l’effectivité des garanties prévues par l’éditeur de logiciel
- Veiller à ce que les instructions qu’il formule en tant que responsable de traitement soit conformes à la règlementation
