RGPD : quelles obligations pour les éditeurs de logiciel SaaS RGPD : quelles obligations pour les éditeurs de logiciel SaaS

RGPD : quelles obligations pour les éditeurs de logiciel SaaS

RGPD : quelles obligations pour les éditeurs de logiciel SaaS

Qu’est-ce qu’un éditeur de logiciel SaaS ?

L’éditeur d’un logiciel Saas propose un service de logiciel à distance.

Son client peut « louer » un logiciel et l’exploiter pour sa propre société en souscrivant à un abonnement proposé par l’éditeur.

L’éditeur de ce logiciel héberge cette société, il doit veiller au bon fonctionnement du site.

Les éditeurs de logiciel SaaS sont très souvent amenés à collecter des données à caractère personnel.

Il peut s’agir des données de la société cliente ou bien des données personnelles de la clientèle de la société qu’il héberge. 

En France, depuis le 25 mai 2018, les organismes qui collectent et traitent des données à caractère personnel doivent se conformer au Règlement général européen sur la protection des données (RGPD).

 

Le RGPD : qu’est-ce que c’est ?

Le RGPD est le règlement européen qui encadre le traitement des données personnelles, que celui-ci soit réalisé à l’aide de procédés automatisés ou non. Ce règlement harmonise les règles en matière de protection des données personnelles sur le territoire européen pour assurer un niveau de sécurité suffisant sur tout le territoire.

Le RGPD s’applique à tout traitement des données à caractère personnel effectué par un responsable de traitement ou sous-traitant qui se trouve sur le territoire européen, même si l’opération de traitement n’a pas lieu dans l’Union. Il s’applique également au traitement des données à caractère personnel de toute personne qui se trouve sur le territoire de l’Union, même si le responsable de traitement ou son sous-traitant n’est pas établi dans l’Union.

Le RGPD impose plusieurs obligations aux responsables de traitement, c’est-à-dire aux organismes qui mettent en œuvre le traitement des données personnelles en déterminant leurs finalités et les moyens du traitement. En fonction du statut de l’organisme, les obligations peuvent varier.

En effet, le RGPD prévoit trois qualifications : un organisme peut être qualifié de responsable de traitement, de sous-traitant ou de coresponsable de traitement

Le règlement prévoit également la mise en place d’autorité de contrôle en charge de veiller sur l’application du RGPD afin d’assurer la protection des données personnelles.

En France, c’est la Commission nationale de l’informatique et des libertés (CNIL) qui est chargée de cette mission. La CNIL peut contrôler, avertir, informer et sanctionner les organismes qui manqueraient aux obligations énoncées par le RGPD. 

En fonction des missions accordées à l’éditeur de logiciel SaaS, celui-ci peut être qualifié de responsable de traitement, de sous-traitant ou de coresponsable de traitement. Chacune de ces qualifications lui conférera des obligations qu’il devra respecter, sous peine d’être sanctionné sévèrement.

 

L’éditeurs de logiciel SaaS en tant que responsables de traitement

L’article 4 point 7 du RGPD définit le responsable de traitement comme étant « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement »

Lorsque l’éditeur du logiciel est chargé de déterminer les finalités et les moyens du traitement des données à caractère personnel, il est considéré comme un responsable de traitement

Il peut par exemple proposer un abonnement à ces clients qui décrit l’ensemble des outils et moyens qu’il mettra en œuvre pour effectuer le traitement des données à caractère personnel. 

Le client peut alors accepter cet abonnement et laisser l’éditeur diriger lui-même le traitement des données. 

L’éditeur devra respecter plusieurs obligations énoncées par le règlement, il sera responsable en cas de manquement et pourra être sanctionné par la CNIL. 

Il devra par exemple assurer une collecte loyale, licite et transparente des données à caractère personnel (article 5 point a) du RGPD)

L’article 24 du RGPD énonce également que le responsable de traitement doit mettre en œuvre plusieurs mesures techniques et organisationnelles afin de garantir la mise en conformité au RGPD, comme la tenue un registre des activités de traitement, l’établissement d’un code de bonne conduite et dans certains cas la désignation d’un délégué à la protection des données est également obligatoire. 

Notre article « Données personnelles et Mise en conformité RGPD » vous présente les différentes étapes et obligations des responsables de traitement pour être conforme aux réglementations énoncées par le RGPD.

 

L’éditeurs de logiciel SaaS en tant que sous-traitant

L’article 4 point 8 du RGPD définit le sous-traitant comme « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement »

Si l’éditeur de logiciel SaaS agit sous l’autorité de son client qui fixe lui-même les finalités de traitement et délègue à l’éditeur des missions précises, ce dernier sera alors considéré comme sous-traitant et non responsable de traitement. 

D’après l’article 82 du RGPD, le sous-traitant peut également être tenu responsable en cas de violation des dispositions du règlement devant les juridictions étatiques ou devant les autorités administratives de contrôle.

Le sous-traitant et le responsable de traitement sont tenus de signer un contrat dans lequel il doit être défini l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. 

L’article 28 du RGPD énonce que ce contrat doit prévoir que le sous-traitant :

  • Ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale.
  • Veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
  • Prend toutes les mesures requises en vertu de l'article 32 pour assurer la sécurité du traitement. 
  • Respecte les conditions visées aux paragraphes 2 et 4 de l’article 28 du RGPG pour recruter un autre sous-traitant. Le sous-traitant ne peut pas recruter un autre sous-traitant sans l'autorisation écrite préalable, spécifique ou générale, du responsable du traitement. L’autre sous-traitant devra respecter les mêmes obligations en matière de protection de données que celles fixées dans le contrat
  • Tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits. 
  • Aide le responsable du traitement à garantir le respect des obligations prévues par le RGPD, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant.
  • Selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes. 
  • Met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

Le sous-traitant pourra être tenu de respecter les mêmes obligations que le responsable de traitement. Il devra par exemple tenir un registre des activités de traitement et désigner un délégué à la protection des données. 

Le responsable de traitement et le sous-traitant peuvent être condamnés solidairement par la CNIL à des amendes administratives pour violation des dispositions prévues par RGPD.

Le montant de ces amendes peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. La CNIL a également le droit de rendre ces amendes publiques, ce qui a pour conséquence d’attacher fortement l’image de l’organisme responsable.

 

L’éditeurs de logiciel SaaS en tant que coresponsable de traitement

L’article 26 du RGPD prévoit une qualification intermédiaire.

Cet article dispose que lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement.

La co-responsabilité des parties peut être prouvée grâce au contrat. Généralement les parties définissent contractuellement leurs missions respectives et leur rôle dans la mise en œuvre du traitement des données à caractère personnel. 

Les responsables conjoints du traitement doivent définir de manière transparente leurs obligations respectives aux fins d'assurer le respect des exigences du RGPD. 

Leur responsabilité conjointe ne doit pas empêcher les personnes concernées par le traitement des données de bénéficier de l’exercice de leurs droits et d’une protection suffisante.

 

Nos prestations

La qualification de l’éditeur d’un logiciel SaaS au sens du règlement général sur la protection des données peut s’avérer très complexe. Afin d’assurer la sécurité des relations entre les parties, il est conseillé que ces dernières définissent directement dans le contrat les rôles de chacune. 

Notre cabinet Avomedias peut vous accompagner dans la rédaction de votre contrat de sous-traitance ou de coresponsabilité afin que celui-ci respecte les obligations énoncées par le RGPD. 

Il importe peu que l’éditeur d’un logiciel SaaS soit qualifié de responsable de traitement, de coresponsable ou de sous-traitant, quoi qu’il arrive, ce dernier est tenu de se mettre en conformité avec la réglementation applicable. 

Notre cabinet Avomedias vous accompagne afin de vérifier que le traitement des données personnelles opéré par votre organisme assure une protection suffisante des données à caractère personnel.

  • Nous vous accompagnons tout au long du processus de mise en conformité avec la loi de protection des données personnelles et plus précisément avec le RGPD, règlement européen garantissant la protection des données à caractère personnel.
  • Nous pouvons par exemple vous proposer des audits du respect des règles en vigueur pour s’assurer que vous ne violer par la loi. 
  • Nous vous accompagnons également en cas de contentieux devant les juridictions compétentes ou la CNIL.

Me Steve OUTMEZGUINE

Me Steve OUTMEZGUINE

Fondateur du Cabinet Avomedias

Contactez nous

contact@avomedias.law
01 84 14 52 02

Notre adresse

47 Avenue Hoche
75008 Paris

Prendre rendez-vous

Prenez rendez-vous par téléphone
Du lundi a vendredi de 9h a 19h

Nous écrire
01 84 14 52 02

Avec votre consentement nous utilisons des cookies pour faciliter votre expérience avec nos services et analyser notre trafic. Vous pouvez gérer ou retirer votre consentement à tout moment. Vous pouvez paramétrer les cookies en cliquant sur le bouton ci-dessous. Pour plus d’informations sur l’utilisation des cookies, vous pouvez consulter notre Politique des cookies.