Loupe

Retour d’expérience : GDPR / RGPD pour un éditeur SaaS

25 Mai 2018, c’est la date à partir de laquelle le nouveau règlement Européen relatif à la protection des données sera appliqué. L’objectif principal de GDPR (General Data Protection Regulation) / RGPD (Règlement Général sur la protection des données) est de renforcer le cadre légal de protection des données personnelles, et de l’uniformiser sur l’ensemble du territoire Européen.

Ce nouveau règlement est résolument orienté sur la protection de l’utilisateur.

En tant qu’éditeur du logiciel SaaS BtoB ‘inwink’, nous avons fait le travail de vérification de la conformité de notre produit vis-à-vis de GDPR.

inwink est une plateforme SaaS de gestion d’évènements BtoB, nos clients entreprise l’utilisent donc pour collecter des données d’inscription et de participation à leurs évènements. Notre produit se doit donc d’apporter toutes les réponses pour être conforme à GDPR.

Dans notre contexte, les règles promulguées par GDPR appellent majoritairement à prendre des mesures de bon sens : une architecture moderne et sécurisée, une bonne organisation, un peu de documentation, ces mesures permettent d’être conforme à la majorité des règles.

Avant de présenter les actions concrètes, il est important de détailler les différents acteurs responsables de la donnée collectée dans le cas d’un produit SaaS :

Il faut ainsi identifier et bien distinguer deux responsabilités :

  1. Le Data Controller / responsable du traitement – c’est la société ou la personne qui décide quelles données collecter, et qui définit l’objectif de cette collecte de données.
  2. Le Data Processor / sous-traitant – c’est la société ou personne qui traite les données personnelles pour le compte du responsable du traitement

De notre côté, avec inwink, Infinite Square opère comme sous-traitant, avec le flux de traitement suivant :

New Bitmap Image.png

En tant que sous-traitant, nous ne pouvons traiter les données personnelles gérées par notre produit inwink que sur instruction documentée du responsable du traitement (notre client). Cela signifie que nous ne manipulons pas, ne diffusons pas, ne partageons pas les données collectées au travers de notre plateforme, car ces données ne nous appartiennent pas.

De manière très synthétique, l’impact de GDPR sur notre produit est le suivant :

Accompagnement :

  • A nos clients qui utilisent notre produit pour générer des formulaires de collecte de données, nous les conseillons sur la mise en place des mentions légales relatives à la collecte de données personnelles.

Hébergement :

Développement :

  • inwink est construit sur une architecture PaaS, en respectant l’état de l’art en terme de sécurité applicative. Ainsi nous avons conçu un produit Privacy by Design
  • Nous sommes en mesure d’effectuer une destruction physique de l’intégralité des données d’un client (données + backup) sur simple demande.
  • Nous avons revu la politique de cookies de notre applicatif Front, avec une règle stricte de classification (essentiel / non essentiel), et la possibilité pour les visiteurs de nos sites d’utiliser notre produit même en cas de non consentement.

Ainsi, avec inwink, nos clients peuvent eux-mêmes :

  • Ajouter dans chaque formulaire de collecte de données, leurs mentions légales et détailler les flux de collecte et de traitement de données qui leur sont spécifiques ;
  • Créer un formulaire pour récolter les demandes d’accès aux informations personnelles de leurs participants, notamment pour déclencher un droit à l’oubli ;
  • Créer des pages pour permettre à leurs visiteurs, une fois identifiés, de consulter et de modifier leurs informations personnelles ;
  • Restituer à la demande l’intégralité des données collectées par un participant à un évènement, ou bien les supprimer physiquement et donc définitivement.

Avec l’application de ces mesures, les clients inwink s’assurent ainsi de leur conformité à GDPR sur les aspects relatifs à leur data processor.

Photo de profil

Ces billets pourraient aussi vous intéresser

Vous nous direz ?!

Commentaires

comments powered by Disqus