[Tribune] RGPD : assurez-vous que votre fournisseur de logiciels est conforme

Publié par le | Mis à jour le
[Tribune] RGPD : assurez-vous que votre fournisseur de logiciels est conforme

Le RGPD est applicable dans toute l'UE dès le 25 mai 2018. La façon dont le règlement sera concrètement appliqué n'est toujours pas définitive... mais ça se précise. Une chose est sûre : il revient à l'entreprise de s'assurer que le logiciel utilisé est conforme au RGPD.

  • Imprimer

Imaginons une situation : vous êtes une entreprise qui gère des données, notamment des données sensibles, et vous utilisez des solutions logicielles fournies par des entreprises tierces. Comment pouvez-vous vous assurer d'être en conformité ?

La loi informatique et liberté de 1978 rend obligatoire un certain nombre de déclarations sur la façon dont les données sont traitées, notamment celles concernant les clients des fournisseurs de logiciels. Le règlement européen général en matière de protection des données (RGPD) s'inspire beaucoup de la législation française. Les entreprises qui respectent déjà la loi de 1978 n'auront donc besoin que d'adaptations mineures.

Les preuves de conformité admissibles devant la CNIL

En principe la Commission nationale de l'informatique et des libertés (CNIL) reçoit les déclarations émises par les entreprises, puis renvoie des certificats de déclaration et cela suffit. La CNIL engage aussi régulièrement des discussions avec les DPO - Data Protection Officer - pour éviter des irrégularités dans une logique de prévention. Cependant, il arrive que la CNIL vérifie la conformité à la loi à l'occasion d'un audit de l'entreprise.

Dans ce cas précis, la CNIL s'appuie sur plusieurs indicateurs pour vérifier la conformité. Les différents comportements humains et processus sont autant d'indices quant au respect de la loi par l'entreprise - en particulier, le fait que les conseils émis par le Data Protection Officer soient écoutés en interne est aussi un indice important.

Il n'y a donc pas de "recette magique" pour prouver que l'on est en conformité à la loi, qu'il s'agisse de la loi de 1978 ou du RGPD, mais un ensemble de bonnes pratiques à adopter. En cas d'irrégularités mineures ou de risque non avéré, il arrive que la CNIL donne des conseils sans sanctionner l'entreprise.

Utilisation de logiciels externes et preuve de conformité

Les logiciels utilisés peuvent faire partie des processus mentionnés ci-dessus. Dans ce cas, si la CNIL souhaite approfondir son audit en allant plus loin que les processus et déclarations envoyées par l'entreprise, elle pourra interroger le fournisseur de logiciel, qui devra à son tour montrer en quoi son logiciel qui traite des données respecte les dispositions du RGPD.

Il revient à l'entreprise de s'assurer que le logiciel utilisé est conforme au RGPD, notamment au travers de clauses légales inclues dans le contrat avec son fournisseur. En l'absence de telles clauses, l'entreprise sera légalement responsable car elle n'aura pas respecté ses obligations de contrôle des données. D'un autre côté, le fournisseur du logiciel est aussi tenu de respecter les dispositions du RGPD, et est aussi responsable devant la loi en cas de manquement à ces obligations.

L'auteur

Steve Wainwright est responsable des ventes directes et indirectes en EMEA. Avec plus de 25 ans d'expérience dans les solutions dédiées à la gestion des collaborateurs, il a travaillé pour Salesforces, SAP et Oracle. Il est passionné par le learning & development (L&D).

Steve Wainwright

Sur le même sujet

IFRS 16, vers quelles évolutions des règles comptables ?
Réglementation
Econocom
IFRS 16, vers quelles évolutions des règles comptables ?

IFRS 16, vers quelles évolutions des règles comptables ?

Par Econocom via Marketme

Les nouvelles normes comptables IFRS 16 entrent en vigueur à partir de Janvier 2019, pour une meilleure comparabilité des données financières. [...]

[Fiche pratique ] RGPD et choix d'un logiciel SaaS : les bonnes questions
Réglementation
[Fiche pratique ] RGPD et choix d'un logiciel SaaS : les bonnes questions
pathdoc - Fotolia

[Fiche pratique ] RGPD et choix d'un logiciel SaaS : les bonnes questions

Par Yves Garagnon, DiliTrust

Il convient, dans les contrats SaaS, de préciser expressément les engagements pris par le fournisseur au titre du RGPD. Nous résumons ici, en [...]

RGPD : tout savoir pour mettre son entreprise en conformité
Réglementation
RGPD : tout savoir pour mettre son entreprise en conformité
©tanaonte - stock.adobe.com

RGPD : tout savoir pour mettre son entreprise en conformité

Par Bénédicte Gouttebroze

À compter du 25 mai 2018, tout organisme exploitant des données personnelles de personnes résidant sur le territoire européen devra se conformer [...]

Fichier des écritures comptables: quel bilan dans les PME et ETI?
Réglementation
Fichier des écritures comptables: quel bilan dans les PME et ETI?
©Bits and Splits - stock.adobe.com

Fichier des écritures comptables: quel bilan dans les PME et ETI?

Par Bénédicte Gouttebroze

En cas de contrôle fiscal, les entreprises doivent fournir à l'administration leur fichier des écritures comptables (FEC). Une obligation depuis [...]

La rédaction vous recommande