Par Jean-Philippe Dupuich, cabinet conseil Utikxo, directeur associé
Ce premier trimestre a été l’occasion pour la CNIL de rappeler que 2018 serait une année de « pragmatisme » et d’« indulgence ». Cela ne signifie pas pour autant que les organismes ne doivent pas se poser les bonnes questions dès maintenant concernant leur alignement au Règlement Général sur la Protection des Données (RGPD). Cela est particulièrement vrai pour les fournisseurs d’applications numériques, éditeurs de logiciels classiques ou en SaaS. En effet, bien que n’ayant pas plus d’obligations vis-à-vis du Règlement que toute autre société, leur activité même les place au cœur des préoccupations RGPD… de leurs clients !
Au fur et à mesure de l’approche de la date de mise en application, la prise de conscience des clients et prospects, souvent tardive et injustement teintée d’anxiété, les amène à se retourner vers leurs fournisseurs. Identifiés comme de potentiels « sous-traitants » au sens du texte, ils leur réclament un justificatif des dispositions mises en œuvre dans leur solution au regard du RGPD.
Cet article n’a pas vocation à vous donner la solution ou la méthode complète d’alignement RGPD pour votre société et pour les solutions que vous proposez à vos clients. Pour cela, vous devrez mobiliser vos équipes sur un projet, en ayant recours éventuellement à un accompagnement extérieur. Simplement, l’idée est de vous faire prendre conscience des axes spécifiques de travail d’un éditeur vis-à-vis du RGPD grâce à un panorama rapide qui pourra vous servir de base de réflexion.
Nous y verrons tour à tour les particularités de votre métier au sein des obligations communes, les axes de conformité pour vos solutions, puis l’accompagnement de vos propres clients-utilisateurs dans leur démarche RGPD.
Quelques points de vigilance parmi les obligations communes à toute société
Bien entendu, un éditeur est avant tout aussi une entreprise. À ce titre, il doit comme toutes les autres respecter un certain nombre de points dans différents domaines (RH, marketing…) afin de respecter le RGPD. Pour une vue exhaustive, vous trouverez beaucoup de contenu sur l’Internet. Concentrons-nous ici sur ce qui peut faire la différence pour un éditeur.
Sur le volet juridique, la révision de vos contrats, qu’ils soient internes (contrats de travail, règlement intérieur, charte informatique…) ou externes (contrats client, CGV, contrats fournisseurs…) doit s’effectuer de manière à y ajouter systématiquement une référence au RGPD. Cet ajout pourra prendre la forme de révisions, mais aussi, et surtout, de clauses supplémentaires ou d’avenants. L’ensemble devra être cohérent, l’objectif étant de démontrer votre alignement à vos clients. Vous pourrez notamment leur garantir que ces clauses existent avec vos fournisseurs et vos collaborateurs et que l’ensemble de cet écosystème autour de votre produit respecte la protection des données à caractère personnel.
La révision ou création de vos publications « légales » doit aussi faire l’objet d’une attention particulière. Notamment, votre avis de confidentialité doit s’étoffer afin de bien refléter les attentes de vos « visiteurs » en ce qui concerne le RGPD. Cela est particulièrement vrai pour les éditeurs de solution SaaS (Software As A Service) où le « site Internet » est le passage obligé pour utiliser l’application.
Sur le volet marketing, les changements à opérer peuvent être très lourds de conséquences. En effet, la fin des sollicitations marketing non consenties est une des promesses du RGPD. Là encore, les solutions SaaS sont particulièrement concernées car 100 % de leur cycle de relation client se passe en ligne. Cela amène à repenser son mode de prospection en profondeur, avec un marketing plus intelligent, comme le marketing de contenu. Des spécialistes du marketing d’éditeurs, comme l’agence Magneticway, ont déjà totalement inclus l’aspect RGPD dans les stratégies proposées à leurs clients.
Enfin, sur le volet organisation, vous pourrez aller au-delà des obligations communes autour des traitements de données à caractère personnel, d’inventaire, d’enregistrement, de suivi et de documentation de l’ensemble de l’activité de votre entreprise. En effet, il vous sera aussi possible de prévoir le même type de processus spécialement dédié à vos produits. Cela vous permettra de vérifier et prouver à tout moment, à vos prospects, clients, mais aussi à l’autorité de contrôle (CNIL) que les évolutions de votre solution, en matière de fonctionnalités ou de technologies, se font dans le respect du RGPD.
Nous allons d’ailleurs voir tout de suite de quoi nous parlons en évoquant le respect du RGPD par le produit…
Un travail important autour du produit
Il paraît évident que dans les prochains mois, la question sur la conformité au RGPD fera partie de la liste des critères d’évaluation des solutions logicielles. Il ne serait même pas étonnant que cela devienne un critère éliminatoire. Quelques évolutions de vos produits concernant la protection des données à caractère personnel vont donc être a priori inscrites dans leurs roadmaps.
Voyons ici brièvement quels pourraient être les axes de travail…
- « Privacy by design »
Tout d’abord, la notion de « privacy by design », introduite par le texte de loi, a une résonnance toute particulière pour un éditeur. En effet, si vous ne le faisiez pas déjà, il va vous falloir construire vos produits de telle sorte que, par défaut, il respecte la protection des données à caractère personnel.
Pour cela, vous pouvez notamment travailler sur les trois aspects suivants :
- La sécurité informatique, en faisant en sorte que la conception de votre logiciel, puis son utilisation, respectent l’ensemble des bonnes pratiques de sécurité informatique. Cela s’entend notamment sur les technologies et protocoles utilisés qui se doivent de suivre les dernières évolutions afin de garantir le niveau maximum de confidentialité, d’intégrité et d’accessibilité aux données.
- La pseudonymisation, voire l’anonymisation, doit permettre une ségrégation des données à caractère personnel au sein des bases gérées dans vos produits afin de permettre à vos clients-utilisateurs de s’aligner aux obligations du RGPD le cas échéant. L’héritage de structures de bases de données peu flexibles et adaptables peut rapidement s’avérer être une difficulté supplémentaire et entraîner un projet de fond, et à plus long terme, de refonte de leur architecture.
- La gestion des droits vient terminer cette notion de confidentialité dès la conception. Elle doit offrir à vos clients-utilisateurs la possibilité de mettre en place une granularité des droits en fonction des profils. Cette granularité doit être suffisamment fine pour lui permettre de répondre au devoir de restriction d’accès aux données à caractère personnel uniquement aux collaborateurs en ayant besoin. Ce besoin sera forcément lié au traitement consenti par les personnes concernées enregistrées dans les bases de votre produit.
- « Privacy by default »
Un autre point à traiter rapidement est le fait que, haut delà de proposer un panel de fonctionnalité permettant la protection des données à caractère personnel, cet arsenal soit par défaut activé. Ensuite, la désactivation de fonctionnalités liées au RGPD pourra entraîner un avertissement avant validation comme nous le verrons par la suite.
- Hébergement
Enfin, pour les éditeurs proposant un hébergement de leur application, voire pour ceux complètement en « Software As A Service », l’accent devra être mis sur la sécurisation de la plateforme et de ses accès. Il en sera de même sur la notion de transfert de données, l’ensemble des flux devant être explicites, surtout en cas de passage hors Union européenne.
L’accompagnement du client-utilisateur dans sa propre démarche
Si on observe ce qui se passe actuellement entre les entreprises, clients, fournisseurs, partenaires…, autour de l’alignement au RGPD, on constate que chacun a besoin de l’autre pour sa propre conformité. Ainsi, vous pouvez considérer votre produit comme un trait d’union entre votre alignement RGPD et celui de vos clients (et réciproquement !).
Partant de ce constat, pourquoi ne pas en profiter pour accompagner votre client de manière proactive ? Voici quelques pistes pour aller dans ce sens…
- Documentation de votre produit
C’est le moment d’étoffer vos guides et manuels d’utilisation (papier, PDF ou en ligne). Pourquoi ne pas prévoir des instructions complémentaires « RGPD » pour chaque action entrant dans le cadre du RGPD (remplissage de champs, extraction de données…) voire un chapitre dédié RGPD au sein de votre documentation ?
Vous pouvez aussi étoffer la documentation fournie avec un inventaire complet des champs de données à caractère personnel, leurs bases de référence et leurs traitements, ainsi que leur impact potentiel sur le plan de la vie privée. Le client pourra s’en servir pour compléter son propre registre global !
- Mise en évidence des éléments liés au RGPD
Dans son utilisation au quotidien, au travers du manuel d’utilisation ou mieux encore, directement dans l’interface, le client-utilisateur sera certainement reconnaissant de distinguer sans ambiguïté, les champs ou fonctions impactant potentiellement son alignement au RGPD. Vous pouvez par exemple taguer ou surligner les champs contenant des données à caractères personnels dans votre produit.
- Alertes systématiques en cas d’utilisation risquée
Pour aller encore plus loin dans ce sens, vous pouvez enrichir le parcours utilisateur de votre client avec des avertissements RGPD, par exemple un pop-up qui lui rappellerait les risques lorsqu’il lancerait l’extraction de données privées.
Le RGPD : une opportunité à saisir !
Finalement, l’effort nécessaire (et indéniable !) pour votre alignement, et surtout celui de votre produit, au RGPD peut être vu comme un investissement rentable dans le cadre de votre relation avec vos clients.
Comme pour les hébergeurs ou les sociétés de marketing, un projet RGPD bien mené peut devenir un avantage compétitif voire un argument marketing en votre faveur.
Il vous reste à profiter de l’année 2018 pour affirmer votre stratégie à ce sujet !
Jean-Philippe Dupuich
Plus d’info: www.utikxo.com
Jean-Philippe Dupuich, diplômé de l’INHESJ en qualité d’Expert en Protection des Entreprises et Intelligence Économique, membre de la commission sécurité des systèmes d’information de l’Afnor, est directeur associé d’Utikxo, un cabinet de conseil spécialisé dans la protection du patrimoine numérique de l’entreprise et la conformité aux réglementations sur l’exploitation des données.