L'entrée en vigueur du Règlement Général sur la Protection des Données Personnelles (RGPD) le 25 mai dernier entraine des modifications profondes dans les relations entre les éditeurs de logiciels, les intégrateurs, les fournisseurs de service SaaS et leurs clients. Afin de clarifier ces relations, les cinq principaux clubs utilisateurs francophones de progiciels, unis pour la première fois au sein d'un groupe de travail commun depuis octobre 2017, éditent aujourd'hui un guide des bonnes pratiques à destination de leurs membres respectifs.
Le DynsClub (utilisateurs Microsoft Dynamics), les Clubs Utilisateurs de solutions Oracle (AUFO – Association des Utilisateurs Francophone d'Oracle, Groupe Francophone des Utilisateurs JDEdwards et le Club des Utilisateurs PeopleSoft), et l'USF (Utilisateurs SAP Francophones), ont ainsi pu identifier ensemble les engagements à demander aux éditeurs de progiciels, aux intégrateurs et aux fournisseurs de solutions SaaS pour permettre à leurs clients de se conformer au RGPD, ainsi que les indicateurs et les points de contrôle permettant de vérifier la mise en œuvre de ces engagements.
Le groupe de travail a d'abord reclassé les 99 articles du RGPD en 12 thèmes (cf. encadré ci-dessous), pour identifier les articles dans lesquels les fournisseurs sont concernés, soit 36 au total. Il a ensuite identifié, pour chacun des thèmes, les dispositions du RGPD qui répondent aux questions suivantes :
- Quelles sont les exigences du RGPD ?
- Quelles sont les attentes du client ?
- Quels sont les engagements ou actions attendus du fournisseur ?
- Quelles sont les modalités de contrôle et les indicateurs associés ?
Au-delà de ce guide, l'ambition des cinq associations est d'aboutir par la suite à un code de conduite à destination des mêmes fournisseurs de logiciels. Ce code pourra être ensuite soumis à la CNIL voire à la Commission européenne.
"Nous sommes convaincus que le RGPD représente une réelle opportunité pour solidifier la démarche de co-responsabilité entre les fournisseurs de progiciels et leurs clients. Ce Guide pratique a été conçu dans ce sens, afin de faciliter l'établissement de la relation contractuelle des utilisateurs avec les éditeurs, intégrateurs et fournisseurs de solutions SaaS" - Didier Artus, président du DynsClub, Vincent Brillot, président du groupe francophone des utilisateurs JDEdwards, Jean-Jacques Camps, président de l'AUFO, Yassine M'Barki, président du club des utilisateurs PeopleSoft et Gianmaria Perancin, président de l'USF.
Les 12 thèmes identifiés par le groupe de travail
1. Champs d'application
2. Les bases légales du traitement et consentement
3. Le Délégué à la Protection des Données personnelles
4. Les relations avec l'autorité de contrôle
5. La responsabilité et la gouvernance des données
6. L'analyse d'impact relative à la vie privée (DPIA)
7. La sécurité et la notification des violations de sécurité
8. Les certifications et les codes de conduite
9. Les obligations des fournisseurs sous-traitants
10. L'information des personnes et la transparence
11. Les droits des personnes
12. Les sanctions