Bien choisir vos solutions logicielles et applicatifs en mode Cloud et Saas

Le recours aux technologies de l’informatique en nuage, hébergement Cloud ou Services Saas est devenu quasi sytématique. Au regard du  RGPD, le fonctionnement de ces outils est susceptible de comporter des risques pour la protection des données personnelles

• Hébergement de la base de données 
• Transferts de données hors de l’Union européenne qui peuvent en résulter, notamment vers des pays hors Europe n’assurant pas un niveau de protection adéquat
• Violation de données en cas de mauvaise configuration du service.

Comme le souligne la CNIL, ces technologies doivent faire l’objet d’une attention particulière. Il faut en conséquence en tant qu’Organisation Responsable de ses traitements de données :

• vérifier auprès de vos sous-traitants,  comme pour tout solution logicielle, que leurs solutions intègrent au sein même du produit et à l’usage, les exigences de traitement  données (accès, modification, minimisation, supression, portabilité, Etc.) dans le fonctionnement même du logiciel
• Interroger vos sous-traitants applicatifs sur leur mise en oeuvre globale du RGPD vis à vis des données que vous leur confiez sur vos salariés, clients ou prospects
• Encadrer les relations contractuelles entre votre organisation (en qualité de  responsable de traitement) et vos sous-traitants fournisseurs de solution cloud /Saas.

En effet, en qualité de « responsable de traitement », vous collectez initalement des données sur vos différents publics et donc décidez « de la finalité et des moyens à mettre en oeuvre pour les traitements de données personnelles » selon la formule consacrée et celà à toutes les étapes du cycle de vie des données de vos salariés, clients prospects, partenaires, membres, Etc.

A ce titre, votre Organisation est responsable du choix de ses sous-traitants au sens du RGPD, du fait qu’au moment du choix, elle doit s’assurer que le produit acheté ou le service souscrit respecte bien les principes de fonctionnement du RGPD et qu’en outre  ce sous traitant met aussi en place en interne ses propres mesures de sécurité organisationnelles et techniques afin d’assurer la protection et la confidentialité des données personnelles qui lui sont confiées en sa qualité de sous traitant, ne serait-ce simplement que pour de l’hébergement ou des sauvegardes.       

Nos prestations d’accompagnement RGPD et conformité logicielle

Audit et contrôle de conformité de vos logicels et développements applicatifs

Nous vous accompagnons pour interroger les éditeurs/intégrateurs sur la conformité de leurs solutions logicielles au regard des exigences de protection des données personnelles édictées par le RGPD (Privacy By Design et Privacy By Default). 

Lors de l’audit, nous vérifions que les principes et fonctionnalités attendues par le RGPD existent et qu’elles répondent bien aux exigences de traitement et de protection des données personnelles des personnes dans leur conception et avec un niveau de sécurité par défaut élevé (chiffrement des données, pseudonymisation, anonymisation, purge automatisée de données pour l’exercice du droit à l’oubli, portabilité des données, sécurité des accès renforcée, sécurisations des flux de transfert de données, cryptage des sauvegardes et limitation de leur conservation, etc…) 

Conduite d’études d’impact (PIA) liés aux outils informatiques 

Lorsqu’un risque élevé d’atteinte à la protection et à la confidentialité des données personnelles est identifié sur un traitement précis, une activité à risque au sens du RGPD, une étude d’impact (PIA en anglais) doit être menée, avant même la lancement du traitement ou sinon le traitement concerné doit être stoppé en attente des résultats de l’étude. Le RGPD le rend d’ailleurs obligatoire dans un certain nombre de cas, notamment les traitements portant sur des données personnelles dites « sensibles ». 

Nous vous accompagnons dans cette démarche, en relation avec vos prestataires et nos partenaires, pour coordonner les parties prenantes, identifier les menaces d’atteinte et de violation des données personnelles, évaluer la probabilité qu’un évènement se produise avec un impact important sur les personnes (taux de survenance et taux de gravité), ainsi que pour définir avec vous les mesures à mettre en oeuvre, tant organisationnelles que techniques, pour annuler ou minimiser le risque et ses conséquences dont les responsabilités associées.