10 novembre 2017

|

Marc-Antoine LEDIEU – Avocat et RSSI

#140 RGPD synthèse pour sous-traitant éditeur de logiciel SaaS

[10 novembre 2017] Et lorsqu’un éditeur de logiciel, spécialiste de la fourniture de sa solution [BtoB] en mode SaaS me propose de venir réfléchir sur l’impact de la GDPR-RGPD sur son activité principale ? Mais oui, j’y vais ! Evidemment ! Ci-dessous les slides intégrales de la présentations « GDPR-RGPD Synthèse pour sous-traitant éditeur de logiciel SaaS » faite pour l’équipe technique et l’équipe commerciale de One2Team, éditeur de logiciel BtoB en mode SaaS le 10 novembre 2017. Des professionnels qui anticipent et s’adaptent aux contraintes règlementaires de l’Union Européenne.
Comment ? L’Europe n’est pas un bastion numérique ? Ben, justement, c’est pour ça que cette règlementation entre en vigueur le 25 mai 2018. A charge de mise en conformité pour les entreprises. Surtout les professionnels de la data…
Pour ce qui est de la partie technique, c’est du bon sens et en passe de devenir « l’état de l’art ».
Pour la partie juridique, pour un prestataire sous-traitant, cela implique de la « mise au carré » du contrat de service SaaS et une révision sérieuse (j’insiste) du contrat d’hébergement. Oui, je sais ce que vous pensez… que votre Avocat va se régaler
Merci aux équipes de Pierre Milet pour leurs questions – assurément concrètes et nombreuses (je le subodore à l’heure – tardive – où j’écris ces lignes…).


—> la nouvelle définition des « Données Personnelles »

D’abord, il faut comprendre de quoi on parle : ça a beaucoup changé de nature depuis 1978, les « données à caractère personnel »
GDPR-RGPD Synthèse pour sous-traitant éditeur de logiciel SaaS


—> responsable de traitement ? sous-traitant ?

Ensuite, il faut définir son statut juridique dans la chaine de traitement des data : si on est propriétaire des données, on est certainement « responsable du traitement« . Si l’on traite les données de ses clients (par exemple en mode SaaS), alors on est aussi certainement « sous-traitant » au sens de la GDPR-RGPD.
GDPR-RGPD Synthèse pour sous-traitant éditeur de logiciel SaaS


GDPR-RGPD Synthèse pour sous-traitant éditeur de logiciel SaaS

Et en application de la GDPR-RGPD, selon que l’on soit « responsable du traitement » ou « sous-traitant », qui doit faire quoi en application de la GDPR-RGPD ?

—> le fondement juridique et préalable obligatoire

GDPR-RGPD Synthèse pour sous-traitant éditeur de logiciel SaaS

—> les conditions de licéité des traitements de données

GDPR-RGPD Synthèse pour sous-traitant éditeur de logiciel SaaS

—> l’obligation d’information et les droits GDPR-RGPD

GDPR-RGPD Synthèse pour sous-traitant éditeur de logiciel SaaS


GDPR-RGPD Synthèse pour sous-traitant éditeur de logiciel SaaS

Une synthèse des nouvelles obligations GDPR-RGPD techniques et juridiques pour les sous-traitants ET les responsables de traitement de données ?

—> le registre des activités de traitement

GDPR-RGPD Synthèse pour sous-traitant éditeur de logiciel SaaS

—> l’obligation de sécurisation technique des données 

GDPR-RGPD Synthèse pour sous-traitant éditeur de logiciel SaaS

—> l’obligation d’assistance à notification à la CNIL et aux personnes concernées

GDPR-RGPD Synthèse pour sous-traitant éditeur de logiciel SaaS


—> L’obligation de mise en conformité des contrats de service SaaS

GDPR-RGPD Synthèse pour sous-traitant éditeur de logiciel SaaS


GDPR-RGPD Synthèse pour sous-traitant éditeur de logiciel SaaS


GDPR-RGPD Synthèse pour sous-traitant éditeur de logiciel SaaS


GDPR-RGPD Synthèse pour sous-traitant éditeur de logiciel SaaS


GDPR-RGPD Synthèse pour sous-traitant éditeur de logiciel SaaS


GDPR-RGPD Synthèse pour sous-traitant éditeur de logiciel SaaS


GDPR-RGPD Synthèse pour sous-traitant éditeur de logiciel SaaS


 

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ

NOS ARTICLES SUR LE MÊME SUJET

Directive UE résilience des entités CRITIQUES #1/2 : qui et pourquoi ?
5 juin 2023

#474 Directive UE entités CRITIQUES épisode 1/2 : QUI est concerné et POURQUOI ?

  • #analyse de #risque
  • #entités #CRITIQUES
  • #entités #ESSENTIELLES
  • #vidéo+BD
co-construction des mesures de sécurité avec les professionnel(le)s #475 cyber sécurité Directive NISv2 entité essentielle importante © Ledieu-Avocats 2023
1 juin 2023

#475 NISv2 l’ANSSI appelle à la co-construction des mesures techniques avec les professionnel(le)s

  • #entités #ESSENTIELLES
  • #entités #importantes
  • #mesures de #cyber #sécurité
  • #NIS v2
données techniques de cache DNS projet LPM 2023 spécial cyber #6 © Ledieu-Avocats
30 mai 2023

#472 projet de LPM 2023 spécial cyber #6 le droit de copie par l’ANSSI des données de cache DNS

  • #cyber-sécurité
  • #LPM 2023
  • #méta #données #techniques
  • #nom de #domaine

LE BLOG EN BD :
DERNIERS ARTICLES

Directive UE résilience des entités CRITIQUES #1/2 : qui et pourquoi ?

#474 Directive UE entités CRITIQUES épisode 1/2 : QUI est concerné et POURQUOI ?

  • #analyse de #risque
  • #entités #CRITIQUES
  • #entités #ESSENTIELLES
  • #vidéo+BD
co-construction des mesures de sécurité avec les professionnel(le)s #475 cyber sécurité Directive NISv2 entité essentielle importante © Ledieu-Avocats 2023

#475 NISv2 l’ANSSI appelle à la co-construction des mesures techniques avec les professionnel(le)s

  • #entités #ESSENTIELLES
  • #entités #importantes
  • #mesures de #cyber #sécurité
  • #NIS v2
données techniques de cache DNS projet LPM 2023 spécial cyber #6 © Ledieu-Avocats

#472 projet de LPM 2023 spécial cyber #6 le droit de copie par l’ANSSI des données de cache DNS

  • #cyber-sécurité
  • #LPM 2023
  • #méta #données #techniques
  • #nom de #domaine