[Tribune] Editeurs de logiciels: pourquoi vos clients vont vous contraindre à justifier de la conformité au RGPD de vos outils?

La Cnil a eu l'occasion de l'affirmer à plusieurs reprises, et le règlement européen général en matière de protection des données (RGPD) ne change rien à la situation sur ce point: les éditeurs de logiciels ne sont pas considérés comme responsables de traitement. Seuls les clients utilisateurs le sont par principe. Mais alors, pourquoi les éditeurs font-ils face à des demandes urgentes de leurs clients, les pressant de fournir des preuves de la conformité de leurs produits au RGPD?

Le règlement européen modifie le management de la conformité en imposant l'accountabilité. Les responsables de traitement doivent donc, dorénavant, démontrer leur conformité. L'accountabilité implique pour les responsables de traitement de déterminer des mesures techniques et organisationnelles permettant de démontrer que les traitements qu'ils mettent en oeuvre sont conformes au RGPD.

L'importance du programme de management de la conformité

L'accountabilité nécessite de déterminer un programme de management de la conformité en matière de protection des données. Ce programme doit contenir notamment une procédure de violation des données, des politiques de sécurité et de durée de conservation mais également des procédures permettant de s'assurer que les principes de protection par défaut et dès la conception sont appliqués. Si la protection dès la conception pour un responsable de traitement lui impose de déterminer les règles et fonctions nécessaires à la protection des données pour les outils qu'il crée ou développe en interne, il doit également vérifier, lorsqu'il acquiert des droits d'utilisation d'un outil édité par un tiers, que cet outil intègre l'ensemble des fonctions, paramétrages et spécifications requis pour respecter les obligations du RGPD.

Cela signifie, pour les outils qu'ils prennent sous licence, que les responsables de traitement doivent exiger de leurs éditeurs qu'ils attestent de la conformité de leurs produits. Ainsi, les responsables de traitements sont à même de démontrer qu'ils respectent leurs propres obligations.

Une pression forte des clients

Les appels d'offres et autres cahiers des charges exigeront la démonstration de la conformité des logiciels ou progiciels. Ainsi, les éditeurs vont être contraints, non pas par le RGPD mais indirectement par leurs clients, de respecter le RGPD. Ce dernier va s'imposer comme un élément de différenciation dans la concurrence entre éditeurs. Pour répondre aux nouvelles attentes de leurs clients, les éditeurs devront fournir tout élément permettant de démontrer que leurs outils ont été élaborés en tenant compte des obligations du règlement.

À ce titre, il est recommandé aux éditeurs, quel que soit le domaine d'activité de leurs outils et à partir du moment où ils permettent un traitement de données à caractère personnel, de documenter et mettre en oeuvre des procédures internes permettant de démontrer qu'ils ont intégrés dans leurs outils les contraintes "informatique et libertés". De ce point de vue, il est conseillé, comme dans certains domaines très réglementés, de mettre en oeuvre une procédure de suivi, de contrôle et de validation interne de tout nouveau projet avant son lancement ou sa commercialisation, afin de fournir des garanties que les contraintes du RGPD ont été intégrées.

Par ailleurs, le respect d'un code de bonne conduite ou l'obtention d'un label devront également être envisagés par les éditeurs comme des solutions leur permettant de répondre plus facilement aux nouvelles attentes de leurs clients.

Pour aller plus loin:

[Tribune] RGPD: comment se mettre en posture de conformité pour 2018?