[10 novembre 2017] Et lorsqu’un éditeur de logiciel, spécialiste de la fourniture de sa solution [BtoB] en mode SaaS me propose de venir réfléchir sur l’impact de la GDPR-RGPD sur son activité principale ? Mais oui, j’y vais ! Evidemment ! Ci-dessous les slides intégrales de la présentations « GDPR-RGPD Synthèse pour sous-traitant éditeur de logiciel SaaS » faite pour l’équipe technique et l’équipe commerciale de One2Team, éditeur de logiciel BtoB en mode SaaS le 10 novembre 2017. Des professionnels qui anticipent et s’adaptent aux contraintes règlementaires de l’Union Européenne.
Comment ? L’Europe n’est pas un bastion numérique ? Ben, justement, c’est pour ça que cette règlementation entre en vigueur le 25 mai 2018. A charge de mise en conformité pour les entreprises. Surtout les professionnels de la data…
Pour ce qui est de la partie technique, c’est du bon sens et en passe de devenir « l’état de l’art ».
Pour la partie juridique, pour un prestataire sous-traitant, cela implique de la « mise au carré » du contrat de service SaaS et une révision sérieuse (j’insiste) du contrat d’hébergement. Oui, je sais ce que vous pensez… que votre Avocat va se régaler…
Merci aux équipes de Pierre Milet pour leurs questions – assurément concrètes et nombreuses (je le subodore à l’heure – tardive – où j’écris ces lignes…).

—> la nouvelle définition des « Données Personnelles »

D’abord, il faut comprendre de quoi on parle : ça a beaucoup changé de nature depuis 1978, les « données à caractère personnel »

—> responsable de traitement ? sous-traitant ?

Ensuite, il faut définir son statut juridique dans la chaine de traitement des data : si on est propriétaire des données, on est certainement « responsable du traitement« . Si l’on traite les données de ses clients (par exemple en mode SaaS), alors on est aussi certainement « sous-traitant » au sens de la GDPR-RGPD.

GDPR-RGPD Synthèse pour sous-traitant éditeur de logiciel SaaS

Et en application de la GDPR-RGPD, selon que l’on soit « responsable du traitement » ou « sous-traitant », qui doit faire quoi en application de la GDPR-RGPD ?

—> le fondement juridique et préalable obligatoire

—> les conditions de licéité des traitements de données

—> l’obligation d’information et les droits GDPR-RGPD

GDPR-RGPD Synthèse pour sous-traitant éditeur de logiciel SaaS

Une synthèse des nouvelles obligations GDPR-RGPD techniques et juridiques pour les sous-traitants ET les responsables de traitement de données ?

—> le registre des activités de traitement

—> l’obligation de sécurisation technique des données 

—> l’obligation d’assistance à notification à la CNIL et aux personnes concernées

—> L’obligation de mise en conformité des contrats de service SaaS