« Les données sont une chose précieuse et dureront plus longtemps que les systèmes eux-mêmes. »
Tim Berners-Lee, inventeur du World Wide Web
Les données sont de l'or. Et alors que le monde se dirige vers l’exploitation des données de multiples manières (à la fois éthiques et contraires à l’éthique), le RGPD vient à la rescousse.
L’impact de la nouvelle législation de l’UE – le Règlement général sur la protection des données (RGPD) sur les entreprises – s’avère aujourd’hui être l’une des réglementations mondiales les plus cruciales car elle est liée à la gouvernance et à la confidentialité des données. De nombreuses personnes ne savent pas vraiment ce qu'est le RGPD, quel impact il pourrait avoir sur leurs entreprises, ou même s'ils devraient même s'en inquiéter.
Signification du RGPD
Le RGPD ou règlement général sur la protection des données est entré en vigueur le 25 mai 2018. L'Union européenne (UE) a été à la pointe des évolutions réglementaires en matière de confidentialité et de protection des données au cours des deux dernières décennies. La violation du RGPD peut entraîner des amendes allant jusqu'à 4 % de votre chiffre d'affaires mondial annuel ou la somme énorme de 20 millions d'euros, selon le montant le plus élevé. Le RGPD vise à protéger les droits à la confidentialité des données des citoyens de l'UE, mais il s'applique à presque toutes les entreprises ayant une présence mondiale, y compris le SaaS.
Dans cet article, nous discuterons de la conformité au RGPD pour le SaaS et de ses implications.
Quelle est la nécessité du RGPD ?
Il y a deux raisons pour lesquelles le RGPD a vu le jour. Premièrement, l’UE souhaite mieux contrôler les données personnelles de ses résidents et contrôler la manière dont elles sont utilisées. Elle espère ainsi améliorer la confiance dans l’économie numérique.
Deuxièmement, l’UE facilite un environnement simple et transparent pour les entreprises en activité, le rendant presque uniforme dans toute l’UE.
Le RGPD vous affectera-t-il même si vous n'êtes pas basé dans l'UE ?
Oui, si vous –
- Vendre des biens ou des services aux citoyens de l’UE ou surveiller leur comportement.
- Traiter les données personnelles des particuliers de l’UE pour le compte d’autres entreprises.
- Gérer un site Web qui utilise des technologies telles que les cookies pour surveiller les personnes basées dans l'UE
- Employer tous les résidents de l’UE
- Collecter tout type de données pouvant inclure des informations sur les citoyens de l'UE
En un mot, le RGPD s'applique aux fournisseurs SaaS qui ont des clients ou des consommateurs européens, quelle que soit la situation géographique de l'organisation.
RGPD pour SaaS : rôle d'un contrôleur de données
Êtes-vous un contrôleur de données ?
Un contrôleur de données est une personne ou une organisation qui contrôle et est responsable de la conservation et de l'utilisation des informations personnelles. Être responsable du traitement des données comporte de sérieuses responsabilités juridiques, des enregistrements des données personnelles et des activités de traitement doivent être conservés.
- Si votre organisation contrôle et est responsable des données personnelles qu'elle détient, alors votre organisation est un responsable du traitement des données. d'un autre côté, vous détenez les données personnelles, mais une autre organisation décide et est responsable de ce qui arrive aux données, alors cette dernière organisation est le contrôleur des données et votre organisation est un sous-traitant.
- Les responsables du traitement des données peuvent être des particuliers ou des entreprises, des services gouvernementaux et des organisations bénévoles. Des particuliers comme les médecins généralistes, les pharmaciens, les hommes politiques et les entrepreneurs individuels, où ils conservent des informations personnelles sur leurs patients, clients, électeurs, etc.
- Il appartiendra au responsable du traitement de s'assurer que les contrats avec le sous-traitant sont conformes au RGPD.
RGPD pour les organisations SaaS : rôle d'un sous-traitant
Êtes-vous un sous-traitant ?
Un sous-traitant est responsable du traitement des données personnelles pour le compte du responsable du traitement. Parmi les exemples de processeurs de données figurent les sociétés de paie, les comptables et sociétés d'études de marché, qui détiennent ou traitent tous des informations personnelles pour le compte de quelqu'un d'autre. Les fournisseurs de cloud sont également généralement des sous-traitants.
Les sous-traitants sont tenus de conserver des enregistrements des données personnelles et des activités de traitement. Ils engageront leur responsabilité légale s'ils sont responsables d'un manquement.
Une entreprise ou une personne peut être à la fois contrôleur de données et sous-traitant pour des ensembles distincts de données personnelles. Par exemple, une société de paie serait le responsable du traitement des données concernant son propre personnel, mais serait également le sous-traitant des données de paie du personnel qu'elle traite pour ses entreprises clientes.
Avant de comprendre comment les entreprises SaaS doivent commencer à se préparer au RGPD, comprenons d'abord les types de données auxquels le RGPD s'applique.
RGPD pour les organisations SaaS – Pour quelles données s’applique-t-il ?
Données personnelles
Toute information relative à une personne identifiable qui peut être identifiée directement ou indirectement notamment par référence à un identifiant tel que nom, numéro d'identification, données de localisation ou identifiants en ligne qui résultent de l'évolution de la technologie. Elle s’applique aussi bien aux données personnelles automatisées qu’aux systèmes de classement manuels. Les données personnelles pseudonymisées, c'est-à-dire par exemple un nom, sont remplacées par un numéro unique, en fonction de la difficulté de caractériser le pseudonyme pour un individu.
Données personnelles sensibles
Les données personnelles sensibles sous l'égide du RGPD sont considérées comme des catégories spéciales de données personnelles qui constituent des informations plus sensibles sur un individu et nécessitent donc plus de protection comme la race, l'origine ethnique, les opinions politiques, la religion, l'appartenance syndicale, les données génétiques telles que la séquence d'ADN, les données biométriques. empreintes digitales ou scanners de la rétine utilisés à des fins d'identification, etc.
Conformité RGPD pour les entreprises SaaS : Comment s'y préparer ?
Il est important que les clients SaaS et les fournisseurs SaaS soient préparés et opérationnels pour la conformité au RGPD. Si vous ne l'avez pas déjà fait, voici comment procéder :
Avoir conscience
Les décideurs et les personnes clés de l'organisation doivent être sensibilisés au RGPD et analyser son impact, identifier les risques impliqués et l'inclure dans leur processus de gestion des risques.
Documentation appropriée
Afin d'être responsable et d'assurer l'efficacité documentation du processus, vous devez documenter les données personnelles que vous détenez, d'où elles proviennent et avec qui vous les partagez. Vous pouvez même exiger des audits réguliers de cette documentation. C’est important, non seulement parce qu’il s’agit d’une exigence légale, mais aussi parce qu’il peut soutenir une bonne gouvernance des données et vous aider à démontrer votre conformité avec d’autres aspects du RGPD.
Communiquer des informations sur la confidentialité
Avant de collecter des données personnelles, la législation en vigueur exige que vous informiez vos clients de votre identité, des raisons pour lesquelles vous collectez les données, de la ou des utilisations qui en seront faites, à qui elles seront divulguées et si elles seront transférées. en dehors de l’UE. En vertu du RGPD, des informations supplémentaires doivent être communiquées aux individus avant le traitement.
Droits des personnes
Les organisations devront fournir gratuitement les données personnelles dans une structure couramment utilisée ou sous un format électronique. Et il faudra également vérifier leurs procédures pour s’assurer qu’elles couvrent tous les droits dont disposent les individus. Par exemple, comment réagiriez-vous si quelqu’un demandait la suppression de ses données personnelles ? Vos systèmes vous aideraient-ils à localiser et à supprimer les données ? Et qui prendra cette décision ?
Consentement
Conservez des enregistrements pour prouver le consentement – qui a consenti, quand, comment et ce qui lui a été dit. Permettez aux personnes de retirer facilement leur consentement à tout moment. Incluez des examens réguliers du consentement dans vos processus commerciaux, car le RGPD indique clairement que les responsables du traitement doivent être en mesure de montrer clairement que le consentement a été donné. Par conséquent, examinez les systèmes dont vous disposez pour enregistrer le consentement afin de vous assurer que vous disposez d’une piste d’audit efficace.
RGPD et SaaS : comment les demandes d'accès aux sujets (SAR) vont-elles évoluer ?
En vertu du RGPD, les organisations devront traiter plus rapidement la demande d'accès au sujet (SAR) et fournir des informations supplémentaires. Les individus ont déjà le droit d'accéder à leurs données personnelles via un SAR. Toutefois, ces demandes seront généralement libres et les particuliers auront le droit de recevoir les informations sous forme électronique.
Si une organisation traite un grand nombre de DAS, l’impact des changements pourrait être considérable. Par conséquent, prendre des mesures pour organiser l’approche des DAS aidera les organisations à se conformer au RGPD.
Infractions aux données
Vous devez vous assurer que les procédures appropriées sont en place pour détecter et signaler sans délai indu, si possible dans les 72 heures suivant la prise de conscience et l'enquête, d'une violation de données personnelles.
Nommer des délégués à la protection des données
Une organisation doit désigner quelqu'un pour assumer la responsabilité du respect de la protection des données. Vous pouvez le nommer soit de l'extérieur, soit quelqu'un de l'organisation elle-même. Vous devrez peut-être apporter des changements à la structure de votre organisation.
Réglementation des données et projets futurs
Une DPIA (Data Privacy Impact Decision) est le processus de prise en compte systématique de l'impact potentiel qu'un projet ou une initiative pourrait avoir sur la vie privée des individus. Il permet aux organisations d'identifier les problèmes potentiels de confidentialité avant qu'ils ne surviennent et de trouver un moyen de les atténuer. Une DPIA peut impliquer des discussions avec les parties/parties prenantes concernées. En fin de compte, une telle évaluation peut s’avérer inestimable pour déterminer la viabilité des projets et initiatives futurs. Le RGPD a rendu obligatoire une DPIA pour les organisations impliquées dans des traitements à haut risque ; par exemple lorsqu'une nouvelle technologie est déployée, lorsqu'une opération de profilage est susceptible d'affecter de manière significative des individus, ou lorsqu'une zone accessible au public est surveillée à grande échelle.
Le RGPD peut sembler un domaine supplémentaire sur lequel travailler pour les entreprises SaaS, mais à long terme, il est parfaitement logique de reconnaître le souci de la confidentialité des données, compte tenu de la quantité de données générées.
Références:
i) http://www.wired.co.uk/article/what-is-gdpr-uk-eu-legislation-compliance-summary-fines-2018
ii) https://spanning.com/blog/the-global-impact-of-gdpr/
iii) https://www.process.st/gdpr-compliance/
iv) https://www.bodlelaw.com/saas/saas-agreements-data-protection-new-eu-data-protection-regulation
v) https://www.eugdpr.org/glossary-of-terms.html
vi) https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/
vii) https://media.squirepattonboggs.com/pdf/misc/GDPR-Implications.pdf
viii) http://www.itpro.co.uk/it-legislation/27814/what-is-gdpr-everything-you-need-to-know
ix) https://www.forbes.com/sites/ciocentral/2017/08/31/if-you-use-saas-products-you-need-to-prepare-for-gdpr-heres-how/#1f13189a29f8