[Fiche pratique ] RGPD et choix d'un logiciel SaaS : les bonnes questions

La démarche de sélection d'une application SaaS, quelle qu'elle soit, débute souvent par la rédaction d'un cahier des charges à destination des éditeurs pressentis. Cet article reprend le contexte et les enjeux d'un tel projet, puis liste une série de questions fonctionnelles, techniques et relatives à la pérennité du fournisseur.

Les questions historiques liées aux données personnelles étaient traditionnellement posées dans la section technique, sous un angle normatif : l'entreprise est-elle certifiée ISO27001 ? Les données sont-elles chiffrées en 256 bits ? Peu de questions concernaient le respect de la loi Informatique et Liberté, car ce n'était pas, jusqu'à la mise en application du RGPD, de la responsabilité du client de vérifier le respect de la loi par son fournisseur.

Le RGPD impose aux clients de nouvelles obligations en ce sens : ils doivent s'assurer du respect du RGPD par leur fournisseur (article 28). Les sanctions sont considérablement renforcées, avec un risque de 4% du CA global, plafonné à 20 M€. Le choix d'un prestataire doit donc intégrer cette obligation.

La récente condamnation de Darty par la CNIL a confirmé cette approche : le client (Darty) a été condamné, sans pouvoir se défausser sur son fournisseur (Eptica ¹). Il convient donc, dans les contrats SaaS, de préciser expressément les engagements pris par le fournisseur au titre du RGPD. Nous résumons ici, en huit points, les questions à insérer impérativement dans vos cahiers des charges.

1. L'hébergement des données est il en Europe, backups inclus ?

Le RGPD restreint très fortement l'export de données personnelles hors d'Europe. Il est donc de bonne pratique de vérifier que les serveurs de l'éditeur sont situés en Europe (en excluant le Royaume Uni, qui ne sera plus européen en mars 2019 !). Cette contrainte concerne également les serveurs de sauvegarde, dont la localisation est parfois négligée.

Le transfert de données hors d'Europe à l'initiative du fournisseur (changement d'hébergeur par exemple) doit être soumis à votre autorisation expresse préalable ou vous être notifié en vous permettant de résilier le contrat sans préavis.

2. L'éditeur a-t-il des liens avec les Etats-Unis ?

Nous retrouvons ici le bon vieux Patriot Act (renommé Freedom Act). Pour faire court, la justice américaine peut demander à un éditeur américain, même dans le cas où sa filiale et/ou les données ne sont pas localisées aux Etats-Unis, de communiquer les données en sa possession. Le Privacy Shield a confirmé cette possibilité, certes encadrée, mais réelle. Les juristes considèrent ce risque comme majeur, comme l'a confirmé l'affaire Microsoft Irlande de 2014, toujours en cours ². Leur recommandation est claire : éviter si possible de confier des données personnelles à des filiales de groupes américains.

3. L'éditeur s'engage-t-il à vous informer des violations ?

Le RGPD vous donne 72 heures pour notifier à la CNIL tout vol de données personnelles. Si ces données sont confiées à un éditeur SaaS, seul ce dernier aura connaissance d'une violation de sécurité. Il doit donc vous la notifier très rapidement, de manière documentée, pour transfert de votre part à la CNIL si vous le jugez nécessaire.

4. La sous-traitance est-elle soumise à autorisation ?

Les contrats SaaS actuels, notamment anglo-saxons, sont soit muets sur ce point, soit autorisent par défaut la sous-traitance par le prestataire de tout ou partie des services prestés. C'est souvent le cas pour l'hébergement ou la hotline, ainsi que pour les éventuelles prestations de paramétrage ou d'intégration.

Le RGPD impose au client d'autoriser toute sous-traitance par le fournisseur à un tiers. Le contrat SaaS doit donc intégrer une clause explicite en ce sens.

5. La hot-line est-elle en Europe ?

La question du support est souvent négligée, mais elle n'est pas anodine : le traitement d'un incident peut nécessiter l'envoi au prestataire d'un fichier, d'une copie d'écran contenant des données personnelles. Si le support est en Inde ou au Maroc vos données sortent d'Europe !

Vérifiez donc la localisation des équipes support, en vous méfiant des supports 24/24, qui font en général appel à des équipes géographiquement distantes. Posez également la question du transfert sécurisé de vos incidents au support : l'envoi avec Gmail ou Outlook d'une copie d'écran permettant au support de qualifier votre problème constitue, s'il contient des données personnelles, une violation du RGPD. Ce transfert doit en ce cas être effectué via une application spécifique³.