Qu’est-ce que le RGPD ?

Ce que le RGPD change par rapport à l’ancienne réglementation Informatique et Libertés

Le RGPD (Règlement Général sur la Protection des Données) vient renforcer à partir du 25 mai 2018 la loi informatique et libertés afin de protéger les personnes physiques contre le traitement abusif de données à caractère personnel dont ils risquent de faire l’objet. Ce règlement a pour but d’uniformiser le cadre juridique sur le territoire européen et de responsabiliser plus encore les entreprises face à ces traitements. A cet effet, les sanctions pourraient ainsi atteindre pour les entreprises jusqu’à 4% du chiffre d’affaires international ou 20 millions d’euros, le montant le plus élevé étant retenu.

Qui est concerné par ce règlement ?

Presque toutes les entreprises européennes sont concernées, dès lors que des données à caractère personnel sont traitées. Celles-ci englobent toute donnée pouvant identifier directement ou indirectement une personne physique.

De nouvelles obligations… ou presque (DPD, PIA, registre de traitement des données…)

Désignation d’un DPD (ou DPO)

L’entreprise concernée doit dans la plupart des cas désigner un DPD (Délégué à la Protection des Données personnelles, ou DPO pour Data Protection Officer en anglais), qui sera responsable du respect de la réglementation en interne et en externe (prestataires, clients…).
Le DPD, qui a également pour mission de sensibiliser et de former ses collaborateurs, fera office d’intermédiaire entre l’entreprise et la CNIL (en France, ou tout autre organisme compétent dans un autre pays). Il tiendra un registre de traitement si la taille de l’entreprise dépasse 250 salariés ou si elle traite des données jugées à risques (traitement de données relatives à des condamnations ou à des infractions, traitement de données de personnes âgées ou mineures, etc.).

Source : https://www.dpms.eu/rgpd/tenue-dun-registre-traitements-donnees-personnelles-cadre-rgpd/

Qui peut être DPD ? Le délégué peut être un collaborateur interne ou un consultant externe, à condition qu’il dispose de “qualités professionnelles et de connaissances spécifiques”. Dans tous les cas, il devra “bénéficier de moyens matériels et organisationnels, des ressources et du positionnement lui permettant d’exercer ses missions”. Le DPD n’occupe pas une fonction l’amenant à déterminer les finalités et les moyens de traitement, mais doit avoir accès à ces données afin de les catégoriser et de réaliser une étude d’impact, en toute indépendance (source : cnil.fr)

Le registre de traitement des données

Un registre de traitement des données est un document géré en interne qui permet de s’assurer que les traitements respectent les obligations légales prévues par le RGPD.

Le registre en question doit contenir :

  • les types de traitements de données personnelles
  • les différentes catégories de données personnelles utilisées
  • les raisons qui légitiment ce traitement
  • l’ensemble des responsables de traitements et les sous-traitants
  • la provenance et la destination des données

Analyse de l’impact de ces données sur la vie privée

L’analyse d’impact dans le cadre du RGPD est souvent appelé PIA (pour Privacy Impact Assessment).

Le RGPD requiert une analyse d’impact relative à la protection des données dans le cas où la compromission des données est susceptible d’engendrer des risques élevés sur les droits et libertés des personnes concernées. Un guide a été mis en place sur le site de la CNIL.

Droits des personnes concernées

Les personnes physiques faisant l’objet de traitement doivent être averties de toutes les raisons impliquant ces traitements et leurs finalités. Pour ce faire, les entreprises doivent, si ce n’est déjà le cas, revoir leur politique de confidentialité pour pouvoir justifier le consentement de leurs clients.

De plus, les personnes physiques concernées ont le droit de demander à ce que toutes leurs données soient supprimées (cf droit à l’effacement ou à l’oubli article 17 RGPD) ou qu’elles leurs soient communiquées (droit à l’information, cf articles 13 et 14 RGPD et droit d’accès, cf article 15), et ce, dans les meilleurs délais.

Ces personnes ont également le droit de demander à ce que leurs données soient rectifiées ou complétées (droit de rectification, cf article 16 du RGPD), ou encore à ce qu’elles soient notifiées en cas de violation de données (article 19 du RGPD).

Impératifs en matière de sécurité

En matière de sécurité, le règlement préconise certaines normes, comme par exemple le chiffrement de données, la limitation des erreurs d’accès à l’espace membre (10 tentatives maximum pour la CNIL), la définition d’un identifiant unique à chaque utilisateur, l’obligation de changement de mot de passe obligatoire après sa réinitialisation… L’article 32 du RGPD amène quelques informations en la matière, en précisant que le responsable de traitement et le sous-traitant (toute personne impliquée dans le traitement des données) doivent mettre en place des mesures techniques (chiffrement, anonymisation, restriction d’accès, etc.) et organisationnelles (internes à l’entreprise) adaptées au risque.

Outre le responsable de traitement (l’entreprise), toutes les parties prenantes au traitement des données (ex : sous-traitants) doivent apporter des garanties suffisantes concernant les mesures de sécurité prises à leur niveau pour veiller au respect de ce règlement, et ce même s’il ne sont pas géographiquement situés au sein de l’Union européenne. En effet, il suffit que les sujets du traitement soient des citoyens européens pour que l’organisation qui traite leurs données indépendamment de sa position géographique ait l’obligation de se mettre en conformité avec le RGPD.

Cette mise en conformité implique que :

  • des moyens doivent être mis en place pour garantir la confidentialité, l’intégrité et la disponibilité des systèmes et des services de traitement
  • soit mise en place une procédure permettant de tester, d’analyser et d’évaluer l’efficacité des mesures existantes
  • des moyens garantissant la disponibilité des données à caractère personnel et leur accès existent

L’impact du RGPD sur les logiciels de trésorerie

Un logiciel de gestion de trésorerie est susceptible de traiter quotidiennement de nombreuses données à caractère personnel. A ce titre, les éditeurs n’échappent pas au RGPD, même s’ils ne traitent pas directement ces données, car celles-ci sont susceptibles de faire l’objet d’analyse en aval de la part de différents services (support, consulting, R&D…) en vue d’améliorer les différents logiciels proposés, de corriger des bugs ou tout simplement dans le cadre de la mise à disposition de ces données en mode SaaS.

L’éditeur de logiciel est ainsi considéré comme un sous-traitant de ses clients (responsables de traitement) et doit leur fournir les garanties nécessaires concernant sa conformité. Cette approche permet de limiter sa responsabilité en révisant ses clauses contractuelles et en demandant la révision du contrat établi.

Sécurité des données : renforcement de la sécurité du site internet, de la base de données interne, des logiciels en Saas, en licence, anonymisation…

Les logiciels de gestion de trésorerie sont particulièrement concernés par la sécurité, étant donné que les traitements effectués peuvent représenter un risque important pour les clients du responsable de traitement (les clients des clients de l’éditeur de logiciels).

Des mesures spécifiques peuvent ainsi être mis en place par le client avec l’aide de l’éditeur, comme par exemple :

  • la mise en place de moyens permettant de limiter temporellement l’utilisation de ces données (via une suppression automatique)
  • le chiffrement des données
  • l’anonymisation ou la pseudonymisation de certaines données

DataLog Finance vous invite donc à vous rapprocher de nos équipes afin d’étudier les moyens à mettre en place pour que le traitement des données à travers vos logiciels de trésorerie soit conforme au RGPD (mise en application le 25 mai 2018).

RGPD côté éditeur : Comment DataLog Finance devient conforme

La date d’entrée en vigueur du RGPD étant le 25 mai 2018, DataLog Finance a mis en place un certain nombre de mesures et une nouvelle organisation pour répondre à ces obligations.

Mise en place d’un registre des traitements

DataLog Finance tient un registre regroupant les différentes catégories de données à caractère personnel sujettes de traitement en interne et dans le cadre de nos activités d’éditeur. Ce registre contient les coordonnées du responsable du traitement, les raisons des traitements (leurs finalités), les types de personnes concernées par le traitement (utilisateurs des logiciels, fichiers clients/prospects, etc.),

Désignation d’un DPD

DataLog Finance a désigné un DPD en interne chargé de tenir le registre des traitements, de s’assurer du respect du règlement en matière de protection des données, de communiquer avec la CNIL en cas de besoin et d’agir en interlocuteur privilégié des personnes concernées par le traitement des données pour toute demande ou question.

Refonte de la politique de confidentialité Web et de nos logiciels (en SaaS et en Licence)

La nouvelle politique tient compte des nouvelles normes de la CNIL (types de données recueillies, finalités des traitement, identité et coordonnées du responsable de traitement, durées de conservations, droit à la rectification, à la mise à jour et à l’effacement des données…).

Sécurité : chiffrement, limitation d’accès, normes et standards

En matière de sécurité, DataLog Finance veille au respect des normes et des mesures à prendre pour protéger les données de ses clients et de ses salariés.

Tous le logiciels de DataLog Finance voient leur base de données chiffrée dès la connexion. Il est également possible de la chiffrer à tout moment grâce aux possibilités nativement offertes par les différents SGBDR utilisées par nos solutions.

Nos solutions en SaaS respectent des normes strictes permettant de garantir une sécurité renforcée à nos utilisateurs :

  • Iso 27001 : standard international de sécurité de l’information permettant d’identifier et de maîtriser les risques liés à la compromission des données
  • Sécurité PCI DSS : norme liée au traitement de cartes de paiement ; sa fonction est de protéger les données du titulaire et des données d’identification sensibles

Autres moyens mis en place

Nous avons reformulé les contrats établis avec nos sous-traitants, notamment sur la partie SaaS.

Nous avons fait signer un accord de traitement de données à tous nos employés concernés, et une charte à ceux qui sont directement concernés par l’éventuel traitement de données clients (particulièrement au niveau SaaS, car n’avons pas accès aux données de nos clients en mode Licence).

Nous avons mis en place des mesures de sécurité avancées (chiffrement des données, anonymisation, limitation de leur utilisation…) pour les différentes solutions que nous utilisons.

Par ailleurs, nous souhaitons que l’ensemble des utilisateurs Bugzilla côté client nous fournisse une adresse générique, afin que nous ayons le moins de données personnelles clients sur nos serveurs, et sommes en train d’arriver au bout de ce processus.

Mise en conformité RGPD côté client

Les solutions de DataLog Finance permettent d’accéder rapidement à la conformité RGPD sur la partie logiciels de trésorerie, après un accompagnement spécifique et la livraison de scripts dédiés à l’environnement du client.

Par ailleurs, nos outils possèdent nativement des bases de données chiffrées (chiffrage au login ou via un paramètre du SGBD) et la possibilité d’archiver/supprimer des données au-delà d’un délai défini. Nous vous invitons à vous rapprocher de nous pour étudier les démarches supplémentaires à effectuer pour que le traitement de vos données de trésorerie soient tout à fait conforme aux impératifs européens du RGPD.