En tant que co-président du collège éditeur de logiciels de Syntec Numérique, et Président de l’éditeur Saaswedo, je suis depuis plusieurs mois aux premières loges pour constater que beaucoup d’acteurs sont désemparés quand on aborde cette question de la répartition des responsabilités, alors que les grands groupes mènent au pas de course leur mise en conformité au RGPD. Bien sûr, ce seront eux en premier qui seront contrôlés et, potentiellement, sanctionnés… mais la CNIL pourra aussi contrôler les sous-traitants pour vérifier que leurs obligations « propres » sont bien respectées. Ainsi l’article 82 du RGPD cadre avec précision cet aspect : les sous-traitants doivent pouvoir se prémunir en étant au clair sur le respect de ces obligations.
Alors que la data est la clé de plus en plus de business models, la CNIL appelle d’ailleurs à raison à la vigilance sur le sujet de la sous-traitance dans ses recommandations sur la protection des données personnelles. Un éditeur est directement responsable des données qu’il traite (gestion RH, clients, etc.). Il peut aussi être dans certain cas sous-traitant pour les données qu’il traite pour le compte de son client – ce qui ne l’exempt donc pas pour autant de responsabilité. «Les données à caractère personnel communiquées à ou gérées par des sous-traitants doivent bénéficier de garanties de sécurité. » prévient une fiche pratique de la Commission. La CNIL a également consacré un guide sur le sujet à l’aune du règlement. Dans le cadre du RGPD, c’est bien à la fois la question de la sécurité des systèmes, de la confidentialité des données et de la documentation sur leurs usages qui sont au cœur des enjeux des éditeurs de logiciels. Ceux-ci ont de plus une obligation de conseil vis-à-vis de leurs clients, car si certains de ces derniers sont prêts à aller plus loin que le RGPD, d’autres souhaiteraient au contraire ne pas se préoccuper de telles contraintes.
Ainsi les éditeurs – je le vis pour Saaswedo – amendent volontiers leurs outils pour être conformes aux exigences de sécurité en termes de gestion des mots de passe par exemple ou de privacy by design au niveau des traitements réalisés et dûment suivis. Nous avons d’ailleurs mis en place un système de « traçage » précis de l’utilisation des données qui transitent par nos outils. Pourtant certaines de ces décisions peuvent déjà créer des frictions avec des clients ! On entend déjà hurler ceux qui se verront expliquer que les mots de passe qu’ils ont définis pour leurs utilisateurs en authentification unique (SSO) dans un modèle SaaS, ne sont pas suffisamment sûrs… Si la culture de la sécurité était si répandue, il n’y aurait sans doute pas de RGPD.
Les problèmes vont malheureusement bien au-delà d’une telle anecdote. La tentation est en effet importante pour certains « grands » de profiter de l’effet RGPD pour faire porter beaucoup plus que de raisonnable la responsabilité sur leurs partenaires et fournisseurs. Leurs exigences, sur les organisations, les processus, les lieux de travail, peuvent dépasser de loin l’évolution bénéfique d’un produit… parfois même jusqu’à déresponsabiliser leurs propres collaborateurs, qui transmettront par exemple plus de données que nécessaires à un prestataire.
En France, 80% des éditeurs de logiciels ont un effectif de moins de 20 personnes. Le développement d’un rôle de Data Protection Officer, par exemple, est déjà pour ces acteurs un grand chamboulement. Même mutualisée, la création d’un tel poste de toute pièce empiète sur les marges. Ne l’oublions pas : en plus d’être un sujet sécurité et éthique, le RGPD est une réalité économique. Face aux efforts déjà déployés, il est donc dommage de voir certains grands acteurs essayer de profiter de la confusion et de la proximité de l’échéance pour inverser les rôles et se décharger de leurs responsabilités.
En 2018, de nombreux professionnels – parmi lesquels Syntec Numérique tient évidemment son rôle – continuent donc de mener un travail de fond de vulgarisation et d’aide pour permettre aux éditeurs de logiciels de prendre leurs propres responsabilités… sans se noyer sous celles des autres ! Car si chacun assume sa part sur ce sujet critique, tout à la fois citoyen, business et technologique, alors nul doute que c’est toute notre économie qui en sortira grandie.
Alors que la data est la clé de plus en plus de business models, la CNIL appelle d’ailleurs à raison à la vigilance sur le sujet de la sous-traitance dans ses recommandations sur la protection des données personnelles. Un éditeur est directement responsable des données qu’il traite (gestion RH, clients, etc.). Il peut aussi être dans certain cas sous-traitant pour les données qu’il traite pour le compte de son client – ce qui ne l’exempt donc pas pour autant de responsabilité. «Les données à caractère personnel communiquées à ou gérées par des sous-traitants doivent bénéficier de garanties de sécurité. » prévient une fiche pratique de la Commission. La CNIL a également consacré un guide sur le sujet à l’aune du règlement. Dans le cadre du RGPD, c’est bien à la fois la question de la sécurité des systèmes, de la confidentialité des données et de la documentation sur leurs usages qui sont au cœur des enjeux des éditeurs de logiciels. Ceux-ci ont de plus une obligation de conseil vis-à-vis de leurs clients, car si certains de ces derniers sont prêts à aller plus loin que le RGPD, d’autres souhaiteraient au contraire ne pas se préoccuper de telles contraintes.
Ainsi les éditeurs – je le vis pour Saaswedo – amendent volontiers leurs outils pour être conformes aux exigences de sécurité en termes de gestion des mots de passe par exemple ou de privacy by design au niveau des traitements réalisés et dûment suivis. Nous avons d’ailleurs mis en place un système de « traçage » précis de l’utilisation des données qui transitent par nos outils. Pourtant certaines de ces décisions peuvent déjà créer des frictions avec des clients ! On entend déjà hurler ceux qui se verront expliquer que les mots de passe qu’ils ont définis pour leurs utilisateurs en authentification unique (SSO) dans un modèle SaaS, ne sont pas suffisamment sûrs… Si la culture de la sécurité était si répandue, il n’y aurait sans doute pas de RGPD.
Les problèmes vont malheureusement bien au-delà d’une telle anecdote. La tentation est en effet importante pour certains « grands » de profiter de l’effet RGPD pour faire porter beaucoup plus que de raisonnable la responsabilité sur leurs partenaires et fournisseurs. Leurs exigences, sur les organisations, les processus, les lieux de travail, peuvent dépasser de loin l’évolution bénéfique d’un produit… parfois même jusqu’à déresponsabiliser leurs propres collaborateurs, qui transmettront par exemple plus de données que nécessaires à un prestataire.
En France, 80% des éditeurs de logiciels ont un effectif de moins de 20 personnes. Le développement d’un rôle de Data Protection Officer, par exemple, est déjà pour ces acteurs un grand chamboulement. Même mutualisée, la création d’un tel poste de toute pièce empiète sur les marges. Ne l’oublions pas : en plus d’être un sujet sécurité et éthique, le RGPD est une réalité économique. Face aux efforts déjà déployés, il est donc dommage de voir certains grands acteurs essayer de profiter de la confusion et de la proximité de l’échéance pour inverser les rôles et se décharger de leurs responsabilités.
En 2018, de nombreux professionnels – parmi lesquels Syntec Numérique tient évidemment son rôle – continuent donc de mener un travail de fond de vulgarisation et d’aide pour permettre aux éditeurs de logiciels de prendre leurs propres responsabilités… sans se noyer sous celles des autres ! Car si chacun assume sa part sur ce sujet critique, tout à la fois citoyen, business et technologique, alors nul doute que c’est toute notre économie qui en sortira grandie.