La conformité au RGPD requiert de vérifier que les logiciels utilisés au sein de l’entreprise respectent les principes fondamentaux du règlement européen, au premier rang desquels se trouvent le non-transfert des données hors de l’UE et l’obligation de répondre aux demandes de droit d’accès, de rectification, d’effacement, de limitation et d’opposition.
D’innombrables solutions informatiques sont susceptibles d’être en infraction avec le RGPD. Il peut tout d’abord s’agir d’outils de bureautique et de télécommunication, comme la messagerie électronique, les logiciels de traitement de texte / tableurs, les outils de numérisation et de reprographie, les applications mobiles, les systèmes de téléphonie fixe et mobile ou bien encore de chat / visioconférence.
Les logiciels concernés peuvent être également être des solutions métier : RH (gestion du personnel / paie / recrutement), communication sur les réseaux sociaux, sondages en ligne, veille, ERP de production ou de chaîne d’approvisionnement, relation client (CRM), gestion des fournisseurs, comptabilité, contrôles d’accès, vidéosurveillance…
Il ne faut pas oublier non plus les applications développées en interne, les outils utilisés pour le développement informatique (environnements de développement, SDK, frameworks…), ainsi que les composants de l’infrastructure informatique : pare-feu, proxy, antivirus, serveurs applicatifs / web / de fichiers / de base de données et les systèmes de virtualisation et de sauvegarde.
Inventorier les solutions susceptibles de procéder à des transferts de données hors de l’Union européenne
L’inventaire de l’ensemble de ces solutions s’impose donc. Il doit permettre tout d’abord de mettre en évidence les éventuels transferts de données personnelles hors de l’Union européenne réalisés dans le cadre des activités métier et des fonctions support. La vérification doit dans un premier temps porter sur les fonctionnalités prévoyant des flux de données vers l’éditeur de la solution ou un tiers fournisseur de SDK ou de framework. Il faut ensuite s’assurer qu’il n’existe pas de création de comptes obligatoires pour l’utilisation du service.
Dans le cas d’applications tierces installées au sein du réseau, il est par ailleurs nécessaire d’identifier les solutions générant des flux de données vers le fournisseur (mise à jour, télémétrie…) ou autorisant des accès distants. Quand les applications tierces sont installées dans un cloud privé, il faut alors demander quelle est la localisation de l’installation et des sauvegardes et identifier les éventuels accès distants par le fournisseur ou ses sous-traitants. Il est à noter que les transferts peuvent également être effectués entre les différentes entités d’un groupe international, via le déploiement d’une solution de gestion RH par exemple.
S’assurer que les demandes de droit d’accès des utilisateurs peuvent être traitées efficacement
Les solutions informatiques déployées au sein de l’entreprise doivent également permettre aux personnes d’exercer leur droit d’accès aux informations qui les concernent grâce à des modalités simples et rapides. Pour rappel, le responsable du traitement de données personnelles doit répondre dans les meilleurs délais à une demande de droit d’accès, avec un maximum d’un mois (article 12.3 du RGPD). Une possibilité de prolonger de deux mois ce délai est prévue pour tenir compte de la complexité et du nombre de demandes, à condition d’en informer la personne concernée dans le délai d’un mois suivant la réception de sa demande.
L’entreprise auprès de laquelle le « droit d’accès » est exercé doit fournir à la personne concernée une copie des données personnelles qu’elle détient sur elle. Les informations suivantes doivent également lui être communiquées : les objectifs d’utilisation des données, les catégories de données collectées, l’identité des destinataires auprès desquels ces données sont communiquées, la durée de conservation, toute information relative à la source spécifique des données collectées et l’existence d’une prise de décision automatisée. Il est donc indispensable que les logiciels utilisés par l’entreprise puissent contribuer activement à la fourniture de ces informations en délivrant des données claires et précises, dans un format facilement exploitable.
Si les données sont détenues par un sous-traitant, celui-ci doit aider l’entreprise à s’acquitter de ses obligations en matière de droit d’accès. Cela peut être le cas, par exemple, quand des salariés demandent des données de géolocalisation de leur véhicule. L’employeur peut alors se tourner vers son sous-traitant afin qu’il lui fournisse ces données « sous une forme accessible ». Il faudra bien entendu s’être assuré au préalable que les logiciels utilisés par le sous-traitant sont en mesure de délivrer facilement ces informations. Le droit d’accès n’est pas le seul prévu par le RGPD. Les droits de rectification, d’effacement, de limitation et d’opposition doivent eux aussi pouvoir être exercés de manière fluide et pratique.
Vérifier le niveau de sécurité des logiciels tiers
S’équiper en solutions du marché nécessite, dans une démarche de conformité RGPD, de vérifier que les logiciels choisis appliquent un certain nombre de mesures garantissant la sécurité des données collectées et évitant leur divulgation à des tiers non autorisés. C’est d’autant plus vrai avec les solutions délivrées en mode SaaS.
De même, les outils déployés doivent être en capacité d’archiver les données qui ne sont plus utilisées au quotidien, mais qui n’ont pas encore atteint leur durée limite de conservation. Les archives doivent être sécurisées de manière appropriée au regard des risques présentés par l’archivage des données, de la nature des données à protéger et des impacts pour les personnes concernées en cas de violation.
Il est également nécessaire de s’assurer que l’éditeur du logiciel intègre la sécurité et la protection des données personnelles au plus tôt dans ses développements (privacy by design). La protection des données personnelles doit en effet être présente dès la phase de conception et pour les configurations par défaut, afin d’offrir aux personnes concernées une meilleure maîtrise de leurs données et limiter les erreurs, pertes, modifications non autorisées, ou mauvais usages de celles-ci dans les applications.
Le cas particulier des zones de commentaires des logiciels de CRM déployés
Dans la plupart des outils de CRM, les zones de commentaires – qui permettent d’assurer le suivi d’un dossier client ou de personnaliser la relation commerciale – doivent faire l’objet d’une attention toute particulière. Les informations collectées sur les personnes doivent en effet être adéquates, pertinentes et non excessives au regard de la finalité du traitement envisagé. De même pour les logiciels dédiés au recrutement. Les informations recueillies sur les candidats doivent se limiter à l’appréciation de ses compétences et de ses aptitudes professionnelles à occuper le poste proposé.
Afin de minimiser les risques de non-conformité, la CNIL recommande de limiter le recours aux zones de commentaires libres et de favoriser l’utilisation de menus déroulants proposant des appréciations objectives. Les solutions déployées dans l’entreprise doivent donc en être équipées. La réalisation d’audits réguliers et le recours à des outils automatiques vérifiant les mots contenus dans les zones de commentaire des logiciels utilisés peuvent également être envisagés. Enfin, des extractions de commentaires, quand elles sont réalisées régulièrement, permettent de s’assurer du respect du RGPD. Encore faut-il que l’outil facilite ce type d’opération.
La conformité RGPD passe par un examen minutieux des solutions logicielles déployées. Cet examen porte sur de nombreux aspects : les éventuels transferts de données hors de l’Union européenne, la facilité à fournir les données nécessaires à l’exercice des droits d’accès, de rectification, d’effacement, de limitation et d’opposition, ainsi que le niveau de sécurité des solutions concernées.