RGPD et choix de son logiciel, les fondamentaux !

Le RGPD est entrée vigueur récemment, la planète web européenne ne s’est pourtant pas arrêtée de tourner et les fournisseurs de solution SaaS se sont adaptés à cette règlementation.
Cependant, vous ne pouvez pas non plus passer à côté des fondamentaux.

Alors, quelles sont les bonnes questions à poser ?

Où sont hébergées les données ainsi que leurs back-ups ?

Assurez-vous que votre éditeur de logiciel héberge, ou fait héberger, sa solution en Europe. Vous devez donc vérifier où sont situés ses serveurs.

Le transfert de données est extrêmement règlementé. Dans le cas où votre éditeur change d’hébergeur ou bien transfert ses infrastructures dans un pays hors UE, il doit vous le signaler et obtenir une autorisation expresse. Vous avez le droit, de résilier votre contrat sans préavis.

N’oubliez pas que, si le Royaume-Uni va au bout de sa démarche du Brexit, ce dernier ne fera plus partie de l’UE. Nous vous conseillons donc d’être vigilant sur ce cas.

Autre point important, c’est le Cloud Act qui est le digne héritier du Patriot Act. En quelques mots, les prestataires de services et opérateurs numériques américains sont obligés de divulguer les informations personnelles de leurs utilisateurs à la demande des autorités Américaines. Cela signifie que toute entreprise américaine (Amazon, Microsoft…) ayant une installation à l’étranger peuvent être sommées de fournir les données sans même passer par les tribunaux. C’est un sacré pied de nez de l’administration des Etats-Unis à notre RGPD. Nous vous conseillons donc d’héberger vos données chez un Européen.

hébergement données rgpd

L’éditeur vous informe-t-il en cas de violation ?

En confiant vos données à un Editeur SaaS, il sera le seul en possibilité de savoir s’il y a eu une fuite de données ou encore une faille de sécurité. Il doit donc contractuellement s’engager à vous signifier au plus vite dans ces cas de figure.

Surtout que la CNIL vous impose un délai de 72 heures pour lui notifier tout vol de données.

Où se situe le service client ?

Prenons un cas concret, votre éditeur est Français mais son service client est hors UE. Vous risquez de vous trouver dans une situation où vous devrez transférer des données vers ce service externalisé (un fichier, une capture, une info…) et donc de les faire sortir d’Europe.

service client RGPD

Quelle est la finalité de traitement des données gérées par votre éditeur ?

Le règlement européen est intransigeant sur ce point. Les données personnelles stockées doivent être celles nécessaires à la finalité du traitement. En tant qu’opérateur télécoms, vous n’avez pas besoin de savoir si votre client, chef d’entreprise, a des enfants. Attention, votre fournisseur de SaaS doit vous éditer une liste précise et complète des données personnelles gérées. A vous de vérifier, sous votre responsabilité, qu’aucune data inutile n’est demandée. Publié le 11/07/2018

Inscription newsletter