Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

RGPD : les éditeurs de logiciels en première ligne face au défi de la mise en conformité

mai 2018 par Axel Rason, PDG d’UPSIDEO et Maître Anne Renard, Avocat du cabinet Lexing Alain Bensoussan Avocats

Le RGPD renforce la protection des données à caractère personnel des utilisateurs. Face au renforcement des obligations des responsables de traitement mais tout autant des sous-traitants (dont font partie les éditeurs de logiciels), il est indispensable de se mettre en conformité. Ceci d’autant plus que le plafond des sanctions peut désormais atteindre des montants très importants.

L’entrée en vigueur, le 25 mai 2018, du Règlement général sur la protection des données (RGPD) est un pas en avant salutaire pour renforcer et uniformiser la protection des données à caractère personnel au sein des Etats membres de l’Union européenne. Or, ce règlement concerne tout particulièrement les éditeurs de logiciels qui, en leur qualité de sous-traitant, voient leurs obligations considérablement renforcées. Si certains principes relatifs au traitement de données à caractère personnel existaient déjà depuis la loi « Informatique et Libertés » de 1978, le RGPD les renforce et ajoute de nouvelles obligations. Parmi ces obligations, le responsable du traitement de ces données doit assurer la sécurité et garantir la confidentialité des données. Les droits des personnes concernées ont également été élargis. Le RGPD ajoute en effet un droit à la limitation du traitement, un droit à la portabilité des données et consacre le droit « à l’oubli ».. Par exemple, il devra faire droit à la demande d’effacement des données de la personne concernée en supprimant effectivement ces données.

Tout traitement de données à caractère personnel doit par ailleurs avoir une base juridique au rang desquelles figure le consentement qui, lorsqu’il est exigé, doit être donné sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Il doit s’agir d’un acte positif de la part de l’utilisateur.

Enfin, le principe de protection des données dès la conception oblige responsables du traitement et sous-traitants à mettre en œuvre, tant au moment de la détermination des moyens de traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées afin de respecter les exigences du RGPD.

Rappelons qu’en cas de non-respect, les sanctions financières peuvent désormais s’élever à 4% du chiffre d’affaires annuel mondial ou 20 millions d’euros. Au-delà de ces sanctions pécuniaires, il en va surtout de la réputation des éditeurs et des préjudices qui peuvent en découler.

Un coût non négligeable à prendre en compte

Pour un éditeur de logiciels, l’application du RGPD entraîne trois types de défis à relever : juridiques, techniques et financiers. Concernant l’aspect juridique, il s’agit principalement de faire un point sur les traitements opérés au sein de l’entreprise et le cas échéant, mettre à jour les documents et les fonctionnalités pour initier la mise en conformité. Sur le plan technique, il s’agit de déterminer les fonctionnalités à modifier ou à installer au cœur des logiciels, de vérifier les mesures permettant de garantir une sécurité et une confidentialité qui soient adaptées aux risques présentés par les traitements mis en œuvre. Sur le plan financier enfin, la mise en conformité avec le RGPD implique un coût non négligeable à prendre en compte.

La RGPD est un investissement indispensable qui transforme la manière pour les sociétés éditrices de concevoir le déploiement de leurs logiciels. Pour les acteurs qui ne respecteraient pas encore ce règlement, il est toutefois inutile de céder à la panique. La CNIL est soucieuse d’aider les entreprises. Elle a récemment affirmé qu’elle distinguerait entre le respect des principes fondamentaux qui existaient déjà sous l’empire de la loi de 1978 et les nouvelles obligations issues du RGPD pour lesquelles la CNIL accompagne, avec pédagogie, les entreprises et qui dans les premiers mois ne devraient pas faire l’objet de procédures de sanction.

Pour mieux aborder cette réforme du droit de la protection des données, il est recommandé de nommer, en fonction de la taille de chaque entreprise, un ou plusieurs responsables de ces questions. La mise en application de cette réglementation peut cependant mettre en difficulté certaines entreprises de petite taille, notamment des start-up manquant de moyens humains et de compétences disponibles sur ces sujets. A ce titre, l’analyse et le conseil de professionnels compétents s’avère un atout qui peut éviter bien des écueils et des fausses pistes. En cas de doute, la Cnil reste également un interlocuteur qu’il convient de privilégier.




Voir les articles précédents

    

Voir les articles suivants