6. Les données personnelles gérées sont-elles limitées ?
Le RGPD est clair sur ce point : seules les données personnelles nécessaires à la finalité du traitement doivent être collectées et stockées. Cette question doit être posée dès la conception de l'application (Privacy by Design) : ai-je besoin de connaître la date de naissance de mon utilisateur dans une application de CRM ? Le statut marital d'un collaborateur est-il utile dans un logiciel de gestion de projets ?
L'éditeur doit préciser la liste exhaustive des données personnelles gérées, et il est de votre responsabilité de vérifier qu'aucune donnée inutile n'est demandée.
7. Les données peuvent-elles être pseudonymisées ?
La plupart des applications intègrent des fonctions statistiques, portant notamment sur des données historiques. Le nombre mensuel de tickets SAV sera par exemple conservé durant plusieurs années pour analyser les pics saisonniers et mieux gérer le service.
L'une des possibilités pour conserver, au-delà d'un délai utile lié à la nature du traitement, des données personnelles est de les pseudonymiser et/ou de les anonymiser (ce dernier processus étant irréversible, contrairement au premier). S'il est utile de connaître l'évolution sur cinq ans des tickets SAV dans notre exemple, connaître l'identité des clients ayant soumis un ticket il y a cinq ans n'a que peu d'intérêt, et risque d'être considéré comme non conforme par la CNIL. L'application doit donc disposer d'une fonction d'anonymisation permettant d'utiliser à des fins statistiques des données anciennes, sans leur conserver un caractère personnel.
Cette possibilité doit être associée à la fonction de purge, généralement disponible dans les applications : suppression complète de toutes les données personnelles après un certain délai.
8. Le droit d'information des utilisateurs est-il géré ?
Le RGPD reprend, en les renforçant, les obligations des entreprises vis-à-vis des personnes leur confiant des données personnelles.
En souscrivant une application SaaS les entreprises sous-traitent à l'éditeur le traitement de ces données, et notamment la possibilité pour la personne concernée de saisir directement ses données dans l'application, en général par un formulaire.
La mention du droit à l'information doit, dans le formulaire ou dans les conditions d'utilisation, être complet. Il convient par exemple, au titre de l'article 13 du RGPD, de préciser la finalité de la collecte d'information : pourquoi demande-t-on cette donnée personnelle ?
Le prestataire SaaS doit donc vous offrir la possibilité de personnaliser le texte de ces formulaires, et d'insérer un renvoi à une page détaillant la finalité de la collecte.
En résumé
Le choix du meilleur prestataire SaaS est, depuis le 25 mai 2018, conditionné à des critères juridiques souvent sous-estimés jusqu'alors. Au-delà des fonctionnalités proposées il est désormais majeur de juger de la qualité d'une offre sur sa conformité au RGPD. Cette dernière passe par des réponses précises à des questions concrètes, et par la reprise des engagements de l'éditeur dans le contrat proposé. Analysez ce document en amont de la phase d'évaluation, et vérifiez la présente des clauses RGPD au sein de ce dernier. La CNIL propose dans son guide du sous-traitant des modèles de clauses : le plus simple, pour éviter tout risque, est de les voir reprendre dans le contrat proposé.
Les juristes doivent être pour cela intégrés dans l'équipe de sélection, et la pondération des critères de choix privilégier sur la conformité RGPD.
Par Yves Garagnon, directeur général de DiliTrust
Éditeur et intégrateur de logiciels, DiliTrust propose une gamme complète de solutions et de services dédiés à la Gouvernance d'entreprise et au partage sécurisé de données sensibles et confidentielles
(1) https://www.cnil.fr/fr/darty-sanction-pecuniaire-pour-une-atteinte-la-securite-des-donnees-clients
(3) Telle que DiliTrust MFT : https://www.dilitrust.com/solution/mft/
NEWSLETTER | Abonnez-vous pour recevoir nos meilleurs articles