Le Règlement Général sur la Protection des Données : RGPD en France est entré en vigueur le 25 mai 2018. Cette loi consiste a encadrer la collecte et le traitement des données personnelles.
En tant qu’éditeur de logiciel SaaS (Software as a Service), vous êtes sûrement amené à collecter des données personnelles sur vos clients. Ainsi, vos clients sont susceptibles de traiter les données de leurs propres clients lorsqu’ils utilisent votre solution.
Or, le RGPD en France vous impose, en tant qu’éditeur SaaS, le respect d’un certain nombre d’obligations que nous verrons par la suite. Ces obligations varient en fonction de votre statut. En effet, il existe trois statuts différents : le responsable de traitement, le sous-traitant ou le co-responsable de traitement.
Dans cet article, nous expliquerons tout d’abord en quoi l’éditeur SaaS est-il impacté par le RGPD en France. Puis nous aborderons les différents statuts évoqués ci-dessus. Enfin, nous verrons les obligations contractuelles de l’éditeur SaaS.
L’impact du RGPD en France sur les entreprises SaaS
En tant qu’entreprise SaaS, vous devez connaître les nouvelles normes concernant la protection des données. Cette loi a été conçu par les instances européennes pour renforcer le cadre juridique en matière de protection des données personnelles.
Le RGPD suit trois principes :
- Consolider les droits des personnes dont les données personnelles sont collectées et traitées.
- Harmoniser la réglementation des données personnelles à l’échelle européenne.
- Responsabiliser les entreprises qui utilisent ces données personnelles.
Or, en tant qu’éditeur SaaS, vous êtes amené à collecter, enregistrer et/ou conserver les données personnelles de vos entreprises clientes. Par exemple, vous pouvez collecter des noms ou adresses mails lors d’une connexion à votre plateforme.
Il est également possible que votre solution serve de stockage ou de génération de données propre à vos clients utilisateurs. Ces données contiennent également des données personnelles.
Dans ces deux situations, votre solution SaaS est amenée à traiter des données personnelles. Mais quel statut avez-vous au regard du RGPD en France ?
Le statut RGPD en France pour les éditeurs SaaS
Le statut juridique de l’éditeur SaaS va dépendre de la finalité du traitement des données personnelles. En fonction des services qu’il va proposer à son client, celui-ci pourra être soit sous-traitant soit responsable de traitement.
Le statut de sous-traitant
Nous allons d’abord expliquer ce qu’est la statut de sous-traitant pour un éditeur SaaS.
Lorsque l’entreprise pour laquelle vous intervenez, autrement dit votre client, traite et collecte les données personnelles de ses propres clients, vous êtes qualifiés de sous-traitant. En tant qu’éditeur SaaS, vous traitez ces données mais pour le compte de votre client. Votre client est alors le responsable de traitement.
Pour mieux comprendre, nous pouvons prendre l’exemple d’un éditeur SaaS de gestion de paie. Cette solution permet à une entreprise de calculer les données de la paie de ses salariés. En tant qu’éditeur SaaS, vous serez alors amené à traiter les données personnelles des salariés de cette entreprise. Néanmoins, dans la finalité du traitement, c’est l’employeur qui paie ses salariés. Le traitement final lui est propre et c’est donc lui qui devient le responsable de traitement.
La loi RGPD considère donc ici que vous, éditeur SaaS, êtes sous-traitant du client responsable de traitement.
Le statut de responsable de traitement
En tant que responsable de traitement, vous déterminez les finalités et moyens mis en œuvre dans le traitement des données personnelles. Vous fixez les objectifs du traitement et la façon dont ces objectifs sont atteints.
Ainsi, vous devez mettre en place un registre des traitements, appliquer les différentes mesures permettant la sécurisation des données, garantir les droits des personnes sur leurs données et coopérer avec la CNIL (Commission Nationale de l’Informatique et des Libertés) qui gère les contrôles.
Prenons un exemple : si votre entreprise SaaS traite les données personnelles lors de la connexion des utilisateurs au logiciel (login, mot de passe ou autres informations complémentaires), vous êtes alors considéré comme le responsable de traitement.
Le statut de co-responsable de traitement
Le RGPD en France prévoit un statut de co-responsable de traitement, c’est un statut intermédiaire. Ce statut plus rare, est envisagé lorsque la finalité du traitement des données est déterminée par deux responsables de traitement.
Cela peut avoir lieu si votre client a participé au co-développement de votre solution SaaS. Il pourrait ainsi assurer le support de l’outil auprès des utilisateurs.
Les obligations contractuelles en fonction de votre statut
Dans un premier temps, lorsque votre logiciel SaaS est commercialisé, il devient nécessaire d’avoir un contrat SaaS. Ce contrat permet de formaliser les relations commerciales entre vous et votre client.
Le contrat SaaS doit nécessairement contenir des clauses obligatoires comme :
- Modalités d’abonnement ;
- Conditions financière ;
- Disponibilité du service ;
- Maintenance du service ;
- Performance du service ;
- Sécurité du service et des données.
En plus de ces clauses, s’ajoutent d’autres éléments obligatoires en fonction du statut de l’éditeur SaaS.
Pour les éditeurs SaaS avec le statut de sous-traitant, le Data Processing Agreement (DPA) s’impose en annexe de votre contrat par le RGPD. Cette annexe inclus l’accord de sous-traitance entre le client et le prestataire SaaS. Afin d’établir ce DPA, il est conseillé de faire appel à un professionnel.
Pour le statut de responsable de traitement, le RGPD exige un document visant à être transmis aux personnes concernées par le traitement de leurs données. Ces informations sont souvent transmises par les éditeurs SaaS via une politique de confidentialité.
Enfin, pour le statut de co-responsable de traitement, vous devrez établir, avec votre client, un accord de co-responsable de traitement avec votre client.
Envie d’aller plus loin ? Découvrez notre article : Loi LME : les nouvelles mesures en vigueur