Evaluer la conformité RGPD d’une solution numérique : guide pratique
Le recours aux solutions numériques externalisées impose certaines vérifications
CRM, logiciel RH, outil de relation client, assistant IA, plateforme de support, service de mesure d’audience… Les TPE et PME ont de plus en plus recours à des outils numériques fournis par des prestataires externes, la plupart du temps sous la forme de SaaS (Software as a service), selon le Baromètre France Num :
- 39 % privilégient les solutions majoritairement installées sur des serveurs distants ;
- et 22 % utilisent à part égale des solutions hébergées sur des serveurs distants et leurs propres serveurs.
Très faciles à déployer car ne nécessitant aucune installation, les solutions de type Saas, permettent aux TPE PME de disposer facilement de solutions de gestion performantes à moindre coûts dans un grand nombre de domaines : pilotage de l’entreprise, gestion financière, gestion des ressources humaines, marketing…
Mais avant de les adopter, il est essentiel de s’assurer de l’utilisation par ces solutions des données personnelles qui leur sont confiées : données clients, données des candidats et des salariés, etc. Bénéficient-elles de la part du prestataire d’un niveau suffisant de protection des données ?
Découvrez, les vérifications indispensables à effectuer avant de choisir une solution numérique, afin de s’assurer qu’elle est bien compatible avec les obligations de l’entreprise en matière de gestion des données personnelles.
Pourquoi vérifier la conformité RGPD d’une solution numérique ?
Les TPE PME utilisent au quotidien des solutions numériques variées mises à disposition par des prestataires. Très souvent, ces outils sont amenés à gérer des données personnelles. Par exemple :
- un CRM qui permet de suivre vos prospects et clients ;
- un outil RH qui facilite la gestion des congés ou des dossiers salariés ;
- un assistant IA qui aide à rédiger, résumer ou analyser des contenus ;
- une plateforme de support client qui permet faire le suivi des demandes ;
- un outil d’analyse d’audience web, qui mesure les performances d’un site internet.
Si les entreprises ont naturellement tendance à privilégier les solutions numériques en fonction du prix, des fonctionnalités offertes, de la simplicité d’usage ou de la rapidité de mise en place, un autre critère, souvent négligé par les TPE PME, est très important : la conformité RGPD.
Les obligations RGPD de l’entreprise qui recourt à une solution numérique externalisée
L’entreprise a l’obligation de s’assurer que ses sous-traitants sont conformes au obligations en matière de gestion des données personnelles, selon l’article 28 alinéa 1 du RGPD qui précise : « Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».
Car, c’est bien l’entreprise, qui a collecté les données qui est responsable de leur traitement, et non le prestataire qui fournit la solution.
Le prestataire, qui gère les données à votre place, doit garantir la confidentialité et la sécurité des données. Mais, il agit dans le cadre de vos instructions.
Il est donc indispensable de s’assurer que le contrat qui lie les deux parties existe bien, et qu’il est conforme au RGPD.
Sécuriser le cadre juridique de l’utilisation de solutions numériques externalisées
Un service numérique mis à disposition par éditeur sur ses serveurs peut, par exemple :
- traiter les données en dehors de l’Union européenne ;
- rester flou sur ses sous-traitants ;
- proposer un cadre contractuel incomplet ;
- donner peu d’informations sur ses mesures de sécurité ;
- compliquer la gestion de vos obligations au quotidien.
Résultat : l’entreprise se retrouver à déployer une solution qui fonctionne bien sur le plan opérationnel, mais qui posera des difficultés quand faudra :
- encadrer son usage ;
- répondre à une demande d’exercice de droits (rectification, suppression) ;
- gérer un incident ;
- ou encore justifier le choix du prestataire.
Pour assurer la conformité de l’entreprise et sécuriser son choix l’entreprise qui utilise une solution mise à disposition par un tiers, doit procéder, en amont du choix de la solution, à la vérification d’un certain nombre de points.
Au-delà de l’obligation légale, cette conformité RGPD contribue à développer et pérenniser l’activité de l’entreprise, son chiffre d’affaires, son image, sa capacité à recruter, etc.
Pour en savoir plus sur les bénéfices pour l’entreprise d’être conforme au RGPD, consultez la fiche pratique :
Les 5 questions à se poser pour s’assurer de la conformité d’un outil numérique
1. Quelles données l’outil va-t-il traiter ?
Avant toute chose, il faut comprendre ce que l’outil va réellement faire. Toutes les solutions n’ont pas le même niveau d’enjeu. Un agenda partagé, un CRM, un chatbot ou un assistant IA ne traitent pas les mêmes données, ni avec le même niveau de risque.
Posez-vous quelques questions simples :
- quelles données personnelles seront traitées ?
- à quelles fins ?
- par qui ?
- pendant combien de temps ?
- dans quel cadre ?
L’idéal est de cartographier rapidement les données concernées avant de choisir l’outil. Un outil peut sembler secondaire dans l’organisation alors qu’il manipule en réalité des données nombreuses, sensibles ou stratégiques. Choisir une solution sans avoir identifié précisément les données qui y circuleront peut être risqué !
2. Le fournisseur propose-t-il un cadre contractuel clair ?
Lorsqu’un prestataire traite des données pour votre compte, il doit proposer un cadre contractuel adapté. En pratique, cela passe souvent par un document spécifique, un accord de traitement de données parfois appelé DPA (Data Processing Agreement) ou contrat de sous-traitance.
Ce document qui formalise les engagements mutuels entre un responsable de traitement et un sous-traitant, dès lors qu’un traitement de données à caractère personnel est réalisé pour le compte du premier, permet de vérifier si le prestataire précise clairement :
- ce qu’il traite ;
- pendant combien de temps ;
- quelles sont ses obligations de confidentialité ;
- quelles mesures de sécurité il met en avant ;
- s’il fait appel à d’autres sous-traitants ;
- ce qu’il advient des données à la fin du contrat.
En l’absence d’un tel cadre, ou si celui-ci est imprécis, l’entreprise dispose de peu d’éléments pour apprécier sérieusement le niveau de garantie offert par le fournisseur.
3. Où les données sont-elles hébergées ?
C’est une question essentielle, et pourtant souvent peu visible dans les documents commerciaux.
Le fait qu’un site soit en français ou qu’un fournisseur ait une présence en Europe ne suffit pas. Il faut comprendre :
- où les données sont stockées ;
- depuis quels pays elles peuvent être accessibles ;
- si des transferts hors Union européenne existent (la plupart du temps vers les États-Unis).
Ce point est souvent sous-estimé dans les petites structures, car il n’est pas toujours lisible immédiatement dans les présentations commerciales des fournisseurs. Pourtant, il est central pour apprécier le niveau de risque et la compatibilité d’un outil avec les exigences de l’entreprise.
4. Que dit le prestataire sur la sécurité ?
Un outil tiers doit offrir un niveau minimal de sécurité et de transparence. Sans mener un audit technique, vous pouvez déjà vérifier si le fournisseur donne un minimum d’informations sur la sécurité. Par exemple :
- décrit-il ses mesures de protection ?
- explique-t-il comment sont gérés les accès ?
- documente-t-il la gestion des incidents ?
- met-il à disposition des engagements formalisés, une documentation détaillée ou certains éléments de confiance ?
L’objectif n’est pas d’exiger l’exhaustivité, mais d’éviter les services trop opaques.
5. La documentation est-elle facile à trouver et à comprendre ?
La documentation en dit souvent long sur le sérieux du fournisseur. Lorsqu’un prestataire explique clairement ses pratiques, ses sous-traitants, son cadre contractuel, son hébergement ou ses mesures de sécurité, il devient plus facile de prendre une décision éclairée.
À l’inverse, une documentation floue, incomplète ou difficile à retrouver doit alerter. Vous pouvez difficilement prendre une décision éclairée si vous ne disposez pas d’informations suffisamment accessibles et cohérentes.
.