Quelles sont les garanties et les éventuelles limites du Privacy By Design, qui se trouve au coeur du RGPD. Réponse avec le leader Cegid.
Quelles sont les garanties et limites du Privacy By Design ?
Il faut d’abord rappeler que le RGPD concerne tous les métiers – expertise comptable, fiscalité, paie, RH, retail… – la gestion des données personnelles y étant plus ou moins centrale.
Certes, l’approche Privacy By Design vise à garantir la conformité des traitements de ces données personnelles en prenant en compte dès la conception et par défaut dans les projets les principes de protection des données personnelles issus du RGPD. Mais contrairement aux idées reçues, le RGPD ne fait pas référence à la conformité du logiciel.
En réalité, le client – qui est très souvent un responsable de traitement – garde deux responsabilités importantes : le choix de son logiciel, d’une part, et l’utilisation qu’il en fait dans son contexte métier, d’autre part : c’est cet ensemble qui va l’engager vis-à-vis du RGPD.
Par exemple, dans une PME, un système manuel de suppression des données peut très bien convenir. Mais ce même système, peu adapté aux processus d’une grande entreprise, pourrait finalement exposer à un risque de non-respect du RGPD.
Il est donc impératif, pour un client, de faire sa propre analyse des risques. Puis, sur cette base, d’associer les bons logiciels avec les bons processus, c’est-à-dire d’adopter une approche duale.
Quelle est l’approche de Cegid en matière de Privacy By Design ?
Pour un éditeur, la priorité est d’intégrer le principe même du Privacy By Design. La demande émane généralement des clients, lesquels attendent une démarche forte. Cegid a donc travaillé sur les aspects juridiques, d’une part, et sur l’implémentation du Privacy By Design, d’autre part. Cette création de fonctions dites Privacy By design, ou By Redesign pour les offres legacy, ne pouvant s’appuyer sur des directives précises de la CNIL, nous avons dû faire des choix a priori pertinents pour nos clients.
Pour en savoir plus, TECH IN France publie un Livre Blanc baptisé Conformité RGPD : Quand les éditeurs deviennent prescripteurs de bonnes pratiques
Un plan de développement commun à l’ensemble de nos offres a donc vu le jour fin 2017, grâce au travail de l’équipe projet pluridisciplinaire RGPD de Cegid. L’équipe a déroulé une à une les exigences des responsables de traitement, en vue d’y associer une fonctionnalité. Les équipes de développement ont ensuite intégré ces propositions dans leurs roadmaps respectives, en les adaptant à leur contexte d’utilisation – une offre RH n’ayant pas les mêmes contraintes RGPD qu’une offre de gestion des stocks.
Pour prendre l’exemple de notre offre retail, nous y avons intégré des fonctions de gestion de la fidélité client. Et cela en anticipant les besoins de nos clients responsables de traitement puisque, en octobre 2017, nous ne disposions pas d’un recul ou de retours clients suffisants. Notre objectif est désormais de mesurer comment cette offre aide effectivement nos clients à répondre à leurs obligations RGPD.
La responsabilité financière de l’éditeur peut-elle être engagée en cas de manquement au RGPD ?
Aujourd’hui, le recul juridique est insuffisant pour affirmer qu’une telle responsabilité de l’éditeur a été clairement établie. Nous ne pouvons donc faire que des hypothèses, en distinguant le cas d’une licence On Premise, mettant à disposition un logiciel avec installation en local chez nos clients, et celui du SaaS, mettant à disposition de nos clients un logiciel déjà hébergé.
Dans le cas d’une licence On Premise sans service associé, il n’y a pas de relation de sous-traitance au sens du RGPD. En effet, la donnée ne transite pas chez l’éditeur et le RGPD ne s’applique donc pas. Prenons ce cas de figure : une amende de la CNIL est prononcée à l’encontre d’un client responsable de traitement, suite à la diffusion de données personnelles, celle-ci résultant d’une faille de sécurité logicielle. La Commission pourrait estimer ainsi que le responsable de traitement n’a pas mis en œuvre toutes les mesures nécessaires pour empêcher cette fuite de données. Quant à l’éditeur, il ne serait pas sanctionné par la CNIL, sur le fondement du RGPD, puisqu’il n’est pas sous-traitant. Nous pourrions envisager que le client puisse se retourner contre son éditeur. Mais en invoquant une autre base légale que le RGPD.
Dans le cas du SaaS, une relation de sous-traitance, au sens du RGPD, est établie. L’éditeur endosse donc les responsabilités qui y sont liées. Imaginons cet autre cas : une personne physique fait une demande de réparation de préjudice, suite à une fuite de données. Si la responsabilité de l’éditeur est établie dans ce manquement de sécurité, le client sera exonéré. Mais sous réserve qu’il prouve bien que le dommage ne lui est nullement imputable. Dans un tel cadre, le client pourrait demander une intervention forcée de l’éditeur au cours de la procédure.
En résumé, dans le cadre général défini par le RGPD, c’est le responsable du traitement qui est – par défaut – responsable de tout dommage. Sauf s’il parvient à prouver que ce dommage ne lui est pas imputable. La responsabilité du sous-traitant pourra être engagée. Maus seulement s’il est prouvé qu’il a fait preuve de manquements aux obligations spécifiques qui incombent à un sous-traitant.
Quant aux éditeurs SaaS, ils sont certes plus exposés. Mais ils ont aussi une opportunité de se différencier en proposant des fonctions RGPD très utiles à leurs clients.
Les discours autour d’une « totale conformité » avec le RGPD sont-ils bénéfiques pour le marché ?
Pas vraiment ! De façon générale, en matière de sécurité informatique, il est quasiment impossible de prendre des engagements de résultat, puisque la sécurité à 100 % n’existe pas. Ce qui soulève un point important de responsabilité et de garantie. Le même raisonnement s’applique en matière de conformité au RGPD. Il faut donc faire attention aux déclarations de « conformité RGPD totale » car sa mise en œuvre est complexe pour les éditeurs.
Attention, donc, à toute forme de surenchère portant sur la conformité ou sur la garantie de sécurité. Les éditeurs doivent résister à cette tentation. Elle aurait des conséquences sur l’ensemble de la chaîne, au moment où nous avons peu de recul juridique. Et à ce jour, peu d’annonces ont été faites sur d’éventuels travaux en collaboration avec la Commission sur ce sujet. Donc prudence.
A l’avenir, comment les éditeurs comme Cegid vont-ils se positionner par rapport au RGPD ?
Il n’y a pas de consensus, aujourd’hui, chez les éditeurs. Et pour cause : sur la question de la responsabilité du sous-traitant, des doutes persistent dans l’interprétation des textes de la CNIL.
D’autres ambiguïtés concernent ce qui relève du cloud public et du cloud privé. Par exemple, en matière de cloud public, la CNIL avait indiqué que l’éditeur pourrait ne pas être assimilé à un sous-traitant. Il se verrait plutôt qualifié de responsable conjoint. Cela soulève des interrogations chez les éditeurs, qui les empêchent de se positionner durablement.
De plus, des questions liées au Cloud Act aux Etats-Unis restent également posées. Le texte est, par nature, contraire au RGPD en Union Européenne. Mais en termes d’application de la réglementation, rien n’est encore tranché. Le rapport Gauvain a été remis au premier Ministre dans le courant de l’année 2019. Il propose plusieurs pistes de réflexions pour renforcer la protection des entreprises contre les lois extraterritoriales. En particulier au niveau de la France et de l’Europe. On comprend donc que la position des éditeurs soit encore appelée à évoluer, en particulier au fil de la jurisprudence. Cegid va maintenir des relations fortes avec la CNIL. Mais également avec ses clients, dans une approche de co-construction et d’amélioration continue pour Cegid.
Olivier Robillart