Expert RGPD - DPO externalisé - Editeurs de logiciels

Depuis l’entrée en vigueur du Règlement Européen sur les Données Personnelles (RGPD/GDPR) le 24 mai 2018, les éditeurs de logiciels doivent prouver à tout moment leur conformité au RGPD.

Par exemple, ils doivent mettre en place un registre recensant tous les traitements de données personnelles, mais aussi les modalités pratiques de l’information délivrée aux personnes concernées (affichage, e-mailing, site Web etc.), les actions menées pour garantir la sécurité des données (politique des mots de passe, sauvegardes, antivirus etc.), la sécurisation des prestataires à qui ils confient des données personnelles (hébergeurs, sous-traitance des développements, maintenance des postes de travail informatique, etc.)…

De plus, un régime de RGPD “renforcé” peut s’appliquer, par exemple si le logiciel :

  • réalise un suivi régulier et systématique des personnes concernées “à grande échelle” ;
  • traite des données sensibles (santé, origine ethnique, appartenance syndicale etc.) ;
  • traite des données relatives à des condamnations pénales.

L’interprétation de la notion de “grande échelle” au sens du RGPD est assez large, puisque les critères dépendent par exemple du nombre de personnes concernées en valeur absolue ou relative sur une zone géographique donnée, la qualité ou la quantité des données traitées, l’étendue géographiques ou la durée de ces traitements.

Sont concernés par exemple des éditeurs de logiciels dans le domaine du médical (a minima pour la maintenance), dans le domaine du e-marketing (analyse comportementale, croisement de données, profilage…), certains éditeurs de logiciels en SaaS

Dans ces cas, l’éditeur de logiciel a l’obligation :

  • de réaliser des analyses d’impact (AIPD) sur certains traitements,
  • de nommer un Délégué à la Protection des Données (DPO).

Contrairement à l’ancien CIL (Correspondant Informatique et Liberté), le DPO ne doit pas être juge et partie dans la définition des traitements de données personnelles (ce qui exclut par exemple le(s) gérant(s) d’une SARL, et plus généralement les postes de direction) et doit posséder les compétences requises dans le RGPD ainsi que les moyens nécessaires à sa mission.

Nommer un DPO externalisé constitue la solution la plus efficace pour gérer à la fois la question de l’indépendance et celle de l’obligation de moyens qui sera décrites formellement dans un contrat.

Pour s’assurer des compétences requises, nous avons depuis 2018 une certification des compétences du DPO agréée par la Commission Nationale Informatique et Libertés (CNIL), réalisée par Bureau Veritas Certification France.

Bureau Veritas Certification - Certification des personnes - Délégué à la Protection des Données

Parce que nous connaissons les problématiques spécifiques à votre métier, nous pouvons vous accompagner au mieux dans cette démarche de mise en conformité au RGPD :

  • Sensibilisation de vos équipes au RGPD ;
  • Accompagnement dans la mise en place du RGPD (cartographie, documentation support, plan d’action…) ;
  • Délégué à la Protection des Données (DPO) externalisé.

N’hésitez pas à nous contacter si vous êtes sur Lyon, Grenoble, Chambéry, Annecy…