Accueil " Ce qu'il faut savoir sur le RGPD et les entreprises SaaS

Le RGPD (Règlement général sur la protection des données) de l'Union européenne est officiellement entré en vigueur le 25 mai 2018 afin d'offrir des droits plus importants en matière de protection des données aux individus dans l'UE.

Le RGPD a modifié la manière dont les données sont collectées, traitées et stockées dans d'innombrables secteurs, y compris celui des logiciels en tant que service (ou SaaS). En ce qui concerne le RGPD et les fournisseurs de SaaS, les entreprises doivent savoir que le RGPD s'applique aussi bien aux relations B2B qu'aux relations B2C.

Que doit faire votre entreprise SaaS pour être en conformité avec le RGPD?

Poursuivez votre lecture pour en savoir plus sur le RGPD et le secteur SaaS, sur le RGPD et les entreprises non européennes, et sur ce que vous devez savoir pour vous conformer au RGPD.

Le RGPD pour l'industrie du SaaS

Le RGPD est particulièrement important dans le secteur du SaaS, car les services logiciels sont fournis par l'intermédiaire d'Internet et de nombreuses entreprises de SaaS supervisent de grandes quantités de données.

En vertu du RGPD, les entreprises doivent être en mesure d'expliquer quelles données sont traitées, quel est l'objectif du traitement de ces données et où les données seront finalement transférées. Les organisations doivent s'assurer qu'elles traitent les données sur une base légale. Cela signifie souvent qu'elles doivent obtenir le consentement valable des personnes concernées avant de traiter leurs données. Des pratiques de protection et des garanties solides doivent également être mises en œuvre pour le traitement.

En tant qu'entreprise de SaaS, vous devez également savoir si vous êtes un responsable du traitement des données ou un sous-traitant, et ce que l'on attend de vous dans ce rôle. Les vendeurs de SaaS/fournisseurs de services en nuage sont généralement à la fois responsables du traitement et sous-traitants. Ils sont responsables du traitement lorsqu'ils décident des finalités et des moyens du traitement (par exemple, lorsqu'il s'agit de leur site web, des bases de données des utilisateurs, des lettres d'information, du marketing, des données de paiement, etc.) et sous-traitants lorsqu'ils agissent selon les instructions de leurs clients (par exemple, dans les activités B2B, lorsqu'ils traitent les données à caractère personnel des clients de leurs clients). Les clients/acheteurs de Saas sont généralement des contrôleurs car ils décident de ce que vous devez faire avec les données. Les responsables du traitement comme les sous-traitants ont leurs propres responsabilités à assumer.

En fin de compte, le RGPD signifie que les responsables du traitement des données et les contrôleurs de données dans l'industrie du logiciel-service devront mettre à jour leurs politiques, leurs pratiques et la manière dont ils traitent les données. À quoi une entreprise de SaaS doit-elle faire attention lorsqu'elle tente de se conformer au RGPD?

Ce que les entreprises de SaaS doivent savoir sur le RGPD

Se conformer pleinement au RGPD n'est pas une tâche facile et des erreurs peuvent se produire. De nombreux éléments doivent être pris en compte lorsque l'on combine le RGPD et l'industrie du SaaS.

Voici quelques éléments que les entreprises de SaaS doivent surveiller et inclure dans leur liste de contrôle RGPD SaaS :

Accords sur le traitement des données (DPA)

Tout d'abord, les responsables du traitement des données devront signer des accords de traitement des données avec les responsables du traitement des données avec lesquels ils travaillent. Un accord de traitement des données est un accord juridiquement contraignant (c'est-à-dire un contrat) qui énonce clairement les responsabilités et les attentes de chaque client. En outre, il doit contenir une description des garanties adéquates mises en place pour le traitement des données. L'existence d'un accord de traitement des données vous permettra non seulement de vous conformer au RGPD , mais aussi de veiller à ce que les tiers avec lesquels vous collaborez le fassent également.

Conformité des fournisseurs tiers

Vérifiez auprès des fournisseurs ou des sous-traitants tiers s'ils sont eux-mêmes en conformité avec le RGPD . S'ils ne le sont pas, il est essentiel de leur demander de le devenir. S'ils ne sont pas intéressés par cette démarche, vous devriez fortement reconsidérer votre collaboration avec eux. La meilleure façon de vous assurer que vous êtes toujours en conformité avec RGPD est de ne travailler qu'avec des tiers qui sont eux-mêmes en conformité avec le RGPD ou qui s'efforcent de l'être.

Sécurité

Aujourd'hui, les cyber-attaques, les violations de données et le mauvais traitement des données personnelles sont plus fréquents que jamais. Une seule petite violation de données peut entraîner de lourdes amendes, c'est pourquoi il est plus important que jamais de disposer d'une sécurité de haut niveau.

Pourtant, la protection des données personnelles n'est pas seulement une question de réglementation. C'est aussi une question de bon sens commercial. Le respect des meilleures pratiques en matière de sécurité de l'information peut aider vos clients à savoir que leurs données sont en sécurité chez vous. Toutefois, les entreprises de SaaS ne doivent pas supposer que le simple fait d'avoir mis en place des mesures de sécurité adéquates ou d'être certifiées ISO/IEC 27001 les met également en conformité avec le RGPD. Des mesures supplémentaires doivent être prises pour s'assurer que votre entreprise SaaS manipule et traite correctement les données à caractère personnel.

Le RGPD et les entreprises non européennes

Le RGPD a été adopté pour accorder des droits et des protections spécifiques aux personnes dans l'UE en ce qui concerne la manière dont les entreprises et les organisations traitent, gèrent et partagent leurs données.

Cependant, si le RGPD peut se limiter aux données des individus dans l'UE, il ne se limite pas aux entreprises européennes. Les entreprises non européennes doivent agir conformément au RGPD au même titre que les organisations basées en Europe.

Si votre entreprise de SaaS traite ou manipule les données de personnes dans l'UE, vous devrez prendre les mesures nécessaires pour vous conformer au RGPD.

Les entreprises SaaS non européennes et le RGPD: deux points d'attention spécifiques

Tout d'abord, vous devrez probablement désigner un représentant européenRGPD afin de satisfaire à l'article 27. Cette section du RGPD stipule que les entreprises non européennes qui offrent des biens ou des services à des personnes dans l'UE et/ou qui surveillent le comportement de personnes dans l'UE doivent désigner un représentant de l'UE pour agir en leur nom.

Votre représentant RGPD dans l'UE doit être clairement désigné par écrit et doit être établi dans l'un des États membres où se trouvent les personnes dont vous traitez les données. Si vous traitez des données personnelles d'individus situés dans plus d'un pays de l'UE, vous ne devez désigner qu'un seul représentant RGPD UE et vous pouvez choisir de désigner le représentant dans n'importe lequel de ces pays de l'UE.

Votre représentant de l'UE sera chargé de représenter votre organisation dans l'UE pour les questions relatives au RGPD . Il vous aidera à traiter les demandes d'accès des personnes concernées dans l'UE et les demandes des autorités de protection des données de l'UE, et conservera également une copie de votre registre des activités de traitement. Veillez à choisir un représentant RGPD de l'UE qui conservera votre dossier dans un endroit hautement sécurisé et qui sera également en mesure de vous aider à notifier les violations de données aux autorités de protection des données de l'UE.

Deuxièmement, ne confondez pas le représentant européen RGPD avec d'autres types de représentants. Une erreur très courante commise par les entreprises SaaS lorsqu'il s'agit de désigner un représentant de l'UE est de confondre le représentant de l'UE RGPD - désigné en vertu de l'article 27 du RGPD - avec le délégué à la protection des données (DPD) - désigné en vertu de l'article 37 du RGPD. Il n'est pas possible de désigner votre DPD comme représentant européen RGPD car son rôle et ses responsabilités ne sont pas compatibles avec ceux d'un représentant européen. Veillez donc à désigner le(s) bon(s) représentant(s) pour la(les) bonne(s) fin(s) afin d'éviter de lourdes sanctions.

Il est essentiel de se conformer au RGPD si vous manipulez ou traitez les données d'individus dans l'UE. De plus, le RGPD et l'industrie du SaaS constituent un mélange complexe. Au début de l'année, Google a été condamné à une amende de 55 millions d'euros pour non-respect de la législation.

Si vous voulez éviter des pénalités financières coûteuses et une réputation négative, vous devez prendre les mesures nécessaires pour vous assurer que votre entreprise SaaS est conforme au RGPD.

Vous souhaitez en savoir plus sur le RGPD et les entreprises non européennes ? Vous cherchez un représentant de l'UE qui peut vous aider à vous mettre en conformité avec l'article 27 du RGPD? Contactez nous pour savoir comment nous pouvons aider votre entreprise SaaS à devenir conforme au RGPD. pour savoir comment nous pouvons aider votre entreprise SaaS à se mettre en conformité avec RGPD dès aujourd'hui !