[Tribune] RGPD : assurez-vous que votre fournisseur de logiciels est conforme

Imaginons une situation : vous êtes une entreprise qui gère des données, notamment des données sensibles, et vous utilisez des solutions logicielles fournies par des entreprises tierces. Comment pouvez-vous vous assurer d'être en conformité ?

La loi informatique et liberté de 1978 rend obligatoire un certain nombre de déclarations sur la façon dont les données sont traitées, notamment celles concernant les clients des fournisseurs de logiciels. Le règlement européen général en matière de protection des données (RGPD) s'inspire beaucoup de la législation française. Les entreprises qui respectent déjà la loi de 1978 n'auront donc besoin que d'adaptations mineures.

Les preuves de conformité admissibles devant la CNIL

En principe la Commission nationale de l'informatique et des libertés (CNIL) reçoit les déclarations émises par les entreprises, puis renvoie des certificats de déclaration et cela suffit. La CNIL engage aussi régulièrement des discussions avec les DPO - Data Protection Officer - pour éviter des irrégularités dans une logique de prévention. Cependant, il arrive que la CNIL vérifie la conformité à la loi à l'occasion d'un audit de l'entreprise.

Dans ce cas précis, la CNIL s'appuie sur plusieurs indicateurs pour vérifier la conformité. Les différents comportements humains et processus sont autant d'indices quant au respect de la loi par l'entreprise - en particulier, le fait que les conseils émis par le Data Protection Officer soient écoutés en interne est aussi un indice important.

Il n'y a donc pas de "recette magique" pour prouver que l'on est en conformité à la loi, qu'il s'agisse de la loi de 1978 ou du RGPD, mais un ensemble de bonnes pratiques à adopter. En cas d'irrégularités mineures ou de risque non avéré, il arrive que la CNIL donne des conseils sans sanctionner l'entreprise.

Utilisation de logiciels externes et preuve de conformité

Les logiciels utilisés peuvent faire partie des processus mentionnés ci-dessus. Dans ce cas, si la CNIL souhaite approfondir son audit en allant plus loin que les processus et déclarations envoyées par l'entreprise, elle pourra interroger le fournisseur de logiciel, qui devra à son tour montrer en quoi son logiciel qui traite des données respecte les dispositions du RGPD.

Il revient à l'entreprise de s'assurer que le logiciel utilisé est conforme au RGPD, notamment au travers de clauses légales inclues dans le contrat avec son fournisseur. En l'absence de telles clauses, l'entreprise sera légalement responsable car elle n'aura pas respecté ses obligations de contrôle des données. D'un autre côté, le fournisseur du logiciel est aussi tenu de respecter les dispositions du RGPD, et est aussi responsable devant la loi en cas de manquement à ces obligations.