webleads-tracker

Quelle solution SAAS à l’heure du RGPD ?

14juin

Quelle solution SAAS à l’heure du RGPD ?

Depuis l’entrée en vigueur du RGPD, les fournisseurs SAAS se doivent de préciser expressément les engagements pris au titre du RGPD.Voici les 6 points essentiels à vérifier d’un point de vue fonctionnel, technique et concernant la pérennité du fournisseur.

Le RGPD impose de plus aux entreprises de nouvelles obligations concernant la protection des données personnelles : elles doivent s’assurer du respect du RGPD par leur fournisseur. Les sanctions sont considérablement renforcées, avec un risque de 4% du CA global ou 20 M€. Le choix d’un prestataire doit donc intégrer cette obligation.

 

1. L’hébergement des données est-il en UE, backups compris ?

Le RGPD encadre très fortement le transfert de données en dehors de l’Union Européenne. Il faut donc vérifier où sont situés les serveurs de l’éditeur en notant bien qu’à partir de mars 2019 le Royaume Uni ne fera plus partie de l’Union Européenne.

Le transfert de données hors d’Europe à l’initiative du fournisseur (changement d’hébergeur par exemple) doit être soumis à votre autorisation expresse préalable ou vous être notifié en vous permettant de résilier le contrat sans préavis.

 

2.  L’éditeur a-t-il des liens avec les Etats-Unis ?

Même si le Privacy Shield autorise le transfert de données vers les Etats Unis, il faut tout de même savoir que la justice américaine est en mesure de demander  à un éditeur américain même dans le cas où sa filiale et/ou les données ne sont pas localisés aux Etats-Unis, de communiquer les données en sa possession.  Les juristes considèrent ce risque comme majeur, comme l’a confirmé l’affaire Microsoft Irlande de 2014, toujours en cours 2. Leur recommandation est claire : éviter si possible de confier des données personnelles à des filiales de groupes américains.

 

3.  L’éditeur s’engage-t-il à vous informer des violations ?

Le RGPD vous donne 72 heures pour notifier à la CNIL tout vol de données personnelles. Si ces données sont confiées à un éditeur SAAS seul ce dernier aura connaissance d’une violation de sécurité. Il doit donc vous la notifier très rapidement, de manière documentée, pour transfert de votre part à la CNIL si vous le jugez nécessaire.

 

4.  La hot-line est-elle en Europe ?

La question du support est souvent négligée, mais elle n’est pas anodine : le traitement d’un incident peut nécessiter l’envoi au prestataire d’un fichier, d’une copie d’écran contenant des données personnelles. Si le support est en Inde ou au Maroc vos données sortent d’Europe !

Vérifiez donc la localisation des équipes support, en vous méfiant des supports 24/24, qui font en général appel à des équipes géographiquement distantes.

 

5.  Les données personnelles gérées sont-elles limitées ?

Le RGPD est clair sur ce point : seules les données personnelles nécessaires à la finalité du traitement doivent être collectées et stockées. Cette question doit être posée dès la conception de l’application (Privacy by Design) : ai-je besoin de connaître la date de naissance de mon utilisateur dans une application de CRM ? Le statut marital d’un collaborateur est-il utile dans un logiciel de gestion de projets ?

L’éditeur doit préciser la liste exhaustive des données personnelles gérées, et il est de votre responsabilité de vérifier qu’aucune donnée inutile n’est demandée.

 

6.  L’exercice des droits des personnes est-il facilité ?

Le RGPD stipule que les personnes qui confient leurs données personnelles disposent d’un droit de consultation, rectification, suppression et portabilité de leurs données.

Votre solution SAAS ne doit pas être un frein à l’exercice de ces droits :

  • Elle doit vous permettre de réunir facilement les données qui concernent une personne donnée.
  • Elle doit vous permettre de supprimer facilement les données à échéance de la durée à laquelle vous vous êtes engagé à les conserver.

Si l’application SAAS offre la possibilité pour la personne concernée de saisir directement ses données dans l’application, en général par un formulaire.

La mention du droit à l’information doit, dans le formulaire ou dans les conditions d’utilisation, être complète. Il convient par exemple, au titre de l’article 13 du RGPD, de préciser la finalité de la collecte d’information : pourquoi demande-t-on cette donnée personnelle ?

La solution SAAS choisie doit donc vous offrir la possibilité de personnaliser le texte de ces formulaires, et d’insérer un renvoi à une page détaillant la finalité de la collecte.

 

Global Partner accorde un soin tout particulier à la sélection des solutions SAAS qui vous sont préconisées. N’hésitez pas à nous consulter en amont de vos projets.

 

Source : www;decision-achats.fr

Posté par GlobalPartner  Posté le 14 Juin 
  • cahier des charge et conformité RGPD, solutions SAAS et conformité au RGPD
  • Commentaires publiés : 0