Le RGPD est une législation qui semble complexe à mettre en œuvre, pour les PME/TPE, mais encore plus pour les TPE/PME éditrices de logiciels. Pour y voir plus clair le Synpell recommande :

  1. La lecture du « Guide du sous-traitant » publié par la CNIL
  2. L’adjonction dans vos contrats commerciaux des clauses « PROVIDE THE PROGRAM “AS IS” WITHOUT WARRANTY OF ANY KIND » que l’on retrouve par exemple dans la licence GNU GPL, en circonscrivant vos services dans la valeur ajoutée que vous apportez aux logiciels livrés
  3. La mise en place de registres de traitement des données, si possible informatisés
  4. L’annexion d’une clause particulière « protection des données personnelles » à l’ensemble de vos contrats commerciaux (ne convient pas aux CGV car probablement particulier à chaque contrat)
  5. La signature d’un avenant « protection des données personnelles » pour l’ensemble de vos contrats de travail

Voici une sélection d’informations que nous avons jugées particulièrement intéressantes :

Définition

Attention, la notion de sous-traitant (processor) au sens du RGPD n’est pas celle du droit des affaires.

Est sous-traitant toute « personne physique ou morale, autorité publique, service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ». Est un traitement de données « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction; ».

Ainsi, une entreprise hébergeant des données pour des tiers, procédant à des sauvegardes, effaçant des données ou des sauvegardes après que l’échéance ait été dépassée est considérée comme « sous-traitant » et répond donc aux obligations des sous-traitants. Typiquement dès qu’une entreprise l’intègre un logiciel libre, elle est probablement « sous-traitante », et si jamais il lui arrive de travailler dans les données de ses clients, alors cela ne fait plus de doute.

Obligations particulières

Nommer un DPD/DPO (délégué à la protection des données) est une obligation pour un éditeur de logiciels libres dès lors qu’il répond de l’une des deux conditions suivantes :

  1. Si vos activités de base vous amènent à réaliser, pour le compte de vos clients ou pour vous-même, un suivi régulier et systématique des personnes à grande échelle
  2. Si vos activités de base vous amènent, pour le compte de vos clients, à traiter à grande échelle des données dites « sensibles » (ex: données de santé, données socio-économiques, juridiques…)
  3. Si sa taille dépasse 250 salariés

Revoir tous ses contrats commerciaux, y compris les contrats déjà établis en y ajoutant les clauses (cf. guide du sous-traitant).

Tenir un registre des traitements, par exemple par l’utilisation de logiciels libres dédiés (PIA, PiaLab…)

En tant que sous-traitant pour un tiers, tout recours à un sous-traitant de second niveau exige l’accord explicite de votre client.

Notifier votre client de toute violation de données à caractère personnel dès que vous en avez pris connaissance.

Les risques d’une non-conformité

10 à 20 million d’€uros (ou jusqu’à 2 à 4% du CA mondial du groupe si ce montant calculé est plus élevé que le précédent) par infraction en plus de la réparation des dommages causés… et vos obligations commencent par la tenue de registres des traitements, la nomination d’un DPO/DPD si nécessaire, l’information de vos clients d’une violation de données, etc.

Aller plus loin

Consulter le Guide du sous-traitant, publié par la CNIL :

Tenir ses registres en :

  • téléchargeant et utilisant PIA
  • téléchargeant et/ou commandant et utilisant PiaLab