Pour la gestion des habilitations RGPD, il est nécessaire pour les éditeurs de proposer des solutions RGPD compliant. La compliance est, en effet, liée au choix de solutions intégrant by design des fonctions permettant le respect des obligations issues du RGPD. Si l’éditeur d’un logiciel n’est pas responsable du traitement qui est mis en œuvre par son client, en revanche, compte tenu de la position de la Cnil qui est de considérer qu’il revient au responsable de traitement, de choisir des solutions lui permettant de respecter ses obligations, il apparaît que les éditeurs ont donc tout intérêt à aider leurs clients à se conformer à leurs obligations en leur proposant des solutions « RGPD compliant ».
A cette fin, nous allons publier une série d’articles afin d’identifier les fonctionnalités ou éléments qui devraient être présents dans un logiciel pour permettre aux clients responsables de traitement de respecter les obligations issues du RGPD.
Une nécessaire conformité des logiciels au RGPD
Le RGPD (1), à l’instar de la loi Informatique et libertés (2), exige que les données à caractère personnel soient traitées de manière à garantir une sécurité et une confidentialité appropriées de ces données ce qui suppose d’éviter que des tiers non autorisés y aient accès mais aussi que les destinataires des données n’accèdent qu’aux données nécessaires à la réalisation de la mission ou de la finalité qu’ils accomplissent.
Selon les termes du RGPD, il faut entendre comme destinataire toute personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers.
Si l’outil ne peut permettre de gérer l’accès des données aux tiers, auxquels le responsable de traitement transfèrerait des données, en revanche, il devrait permettre au responsable d’octroyer des droits aux utilisateurs selon leurs fonctions, missions et autre périmètre géographique.
Il apparaît essentiel pour les éditeurs de mettre en place des outils garantissant et permettant à leurs clients, responsables de traitement, de se conformer à la réglementation Informatique et libertés.
Le développement des logiciels ne peut plus se concevoir sans prendre en compte les règles applicables en matière de protection des données personnelles. La mise en place d’outils permettant un haut niveau de conformité représentera un avantage concurrentiel de premier ordre pour les éditeurs.
Gestion des habilitations RGPD au sein des logiciels
Une fois que les responsables de traitements ont identifié précisément les seules personnes pouvant légitimement avoir accès aux données à caractère personnel contenues dans les logiciels mis à leur disposition, les éditeurs doivent impérativement leur offrir la possibilité de mettre en place :
- un mécanisme de définition des niveaux d’habilitation ;
- un moyen de contrôle des permissions d’accès aux données.
Pour ce faire, il est recommandé aux éditeurs de développer des outils dédiés à la gestion des habilitations au sein des logiciels qu’ils développent. Il leur faudra définir des profils d’habilitation dans les systèmes en séparant les tâches, les domaines de responsabilité, et le périmètre géographique afin de limiter l’accès aux données aux seuls utilisateurs dûment habilités.
A titre d’illustration, au sein d’un outil dédié à la gestion des ressources humaines, les écrans dédiés à la gestion de la paye ne devraient être accessibles qu’au service en charge de la gestion de la paye et non pas au service en charge de la formation du personnel ou des relations sociales.
Ces différents critères doivent pouvoir être combinés, c’est-à-dire qu’il devra être possible de définir un profil d’habilitation sur la base d’un profil métier mais également d’un périmètre géographique donné.
Gestion des habilitations RGPD
La gestion des habilitations RGPD devraient également pouvoir être définie à la donnée permettant ainsi que la restitution des champs sur une même page, puisse être différente en fonction de la nécessité d’accès de chaque profil. Les habilitations doivent encore pouvoir être définies en termes d’actions et une distinction doit pouvoir très opérée entre les droits pour la création, la modification, la suppression ou encore la consultation des données contenues dans le logiciel.
Des outils doivent, en outre, être développés pour permettre les mises à jour de ces habilitations RGPD : il convient de prévoir que les permissions d’accès des utilisateurs disparaissent dès qu’ils ne sont plus habilités à accéder aux données concernées, ou à la fin de leur période d’emploi. Le rappel de la nécessité d’une vérification fréquente des profils d’habilitation devrait également être automatisé. A titre d’illustration, une alerte automatique pourrait être générée après un certain temps d’inactivité d’un compte donné afin de déterminer s’il convient ou non de le maintenir.
Le déploiement de telles possibilités au sein des logiciels permettra aux éditeurs de se distinguer sur le marché.
De manière plus générale, une revue globale de la conformité de leurs logiciels au regard des exigences Informatique et libertés leur permettra de mettre en avant un comportement responsable et la conformité de leurs outils au RGPD auprès de leurs clients et prospects.
Céline Avignon
Anne Renard
Lexing Publicité et Marketing électronique
(1) Article 28 §1 du règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
(2) Article 34 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés