Vous êtes avocat ? 👋 Pour rejoindre notre réseau, c'est par ici !
  1. Gestion
  2. Politique de confidentialité - RGPD
  3. L'éditeur de logiciel Saas face au RGPD, par Me Znaty

L'éditeur de logiciel Saas face au RGPD, par Me Znaty

Consulter Me Znaty
Consulter Me Znaty

Vous êtes éditeur de logiciel SaaS et intervenez en tant que prestataire pour le compte de nombreuses entreprises ? Dans ce cadre, vous êtes sûrement amené à collecter et traiter des données personnelles sur vos clients, au même titre que ces derniers sont susceptibles de collecter des données personnelles sur leurs prospects, salariés ou propres clients, lorsqu’ils utilisent votre solution SaaS.

Or, depuis l’entrée en vigueur du Règlement général sur la protection des données (RGPD), tout organisme qui collecte et traite des données personnelles sur le territoire européen ou dont l’activité cible des personnes se trouvant sur le territoire européen se doit d’être en conformité avec ce règlement. Cette mise en conformité impose à l’éditeur Saas le respect d’un certain nombre d’obligations, mais à quel titre ? En tant que responsable de traitement ou bien en tant que sous-traitant ? Quelle est la différence entre ces deux statuts ? Quel est l’impact direct sur la nature et le contenu de vos obligations contractuelles ?

Maître Benjamin Znaty, avocat spécialisé en droit des nouvelles technologies, décrypte le sujet pour vous.

 

 

En quoi l’éditeur SaaS est-il impacté par le RGPD ?

 

En tant que prestataire et éditeur SaaS, vous avez certainement déjà entendu parler du RGPD.

Entré en vigueur le 25 mai 2018, le Règlement Général sur la Protection des Données ou RGPD a été conçu par les instances européennes pour moderniser et renforcer le cadre juridique en matière de protection des données à caractère personnel. Plus précisément, il a permis d’adapter la réglementation sur la protection des données personnelles aux récentes évolutions numériques et technologiques.

Le RGPD poursuit trois objectifs principaux :

  • Uniformiser la réglementation en matière de protection des données personnelles au niveau européen ;
  • Responsabiliser les entreprises qui collectent et traitent des données personnelles, c’est-à-dire aussi bien les responsables de traitement que les sous-traitants ;
  • Renforcer les droits des personnes dont les données personnelles sont collectées et traitées.

 

Or, comme indiqué précédemment, en tant que fournisseur de services SaaS, vous êtes amené à traiter des données à caractère personnel, c’est à dire notamment à collecter, enregistrer ou conserver les données de vos entreprises clientes. Par exemple, lorsque que vous identifiez les utilisateurs de vos clients afin de leur permettre de se connecter et d’utiliser votre solution SaaS, vous allez collecter des données personnelles. Il peut s’agir ici d’un nom, d’une adresse mail ou encore d’un identifiant de connexion.

Par ailleurs, votre solution SaaS permettra le plus souvent également aux clients utilisateurs de cette solution de stocker ou générer leurs propres données, pouvant comprendre à cet égard également des données personnelles.

Dans ces deux situations, des “traitements” de données personnelles sont donc opérés via votre solution SaaS. Dans ce cadre, en tant qu’éditeur SaaS, vous êtes donc tenu de vous conformer au RGPD. Mais à quel titre traitez-vous ces données personnelles ? Quel est votre statut au regard du RGPD ? Et quel impact sur vos obligations contractuelles ?

 

 

Le statut RGPD de l’éditeur SaaS : responsable de traitement, sous-traitant ou les deux ?

 

A l’occasion des services qu’il rend à son client, le prestataire SaaS peut revêtir deux casquettes au titre du RGPD : celle de responsable de traitement et celle de sous-traitant. En réalité, la qualification retenue va directement dépendre de la finalité du traitement.

 

Le statut de sous-traitant

 

En tant qu’éditeur de logiciel SaaS, vous pouvez tout d’abord être qualifié de sous-traitant.

C’est le cas lorsque c’est votre client, c’est-à-dire l’entreprise pour laquelle vous intervenez, qui traite et collecte au premier chef les données personnelles sur ses propres clients, ses prospects ou ses salariés via votre solution. Quant à vous, en tant qu’éditeur Saas, vous traitez, certes ces données personnelles, mais pour le compte de votre client.

Dans ce cas de figure, votre client est responsable de traitement, tandis que vous êtes sous-traitant agissant pour le compte du responsable de traitement.

Prenons l’exemple d’une solution SaaS de gestion de paie. L’éditeur SaaS met à disposition un support de paye pour le compte d’une entreprise en mode SaaS. Tout comme cette entreprise cliente, cet éditeur sera amené à traiter des données personnelles sur les salariés de cette entreprise. Ici, la finalité du traitement consiste pour l’employeur à payer ses salariés. C’est donc lui qui est responsable de traitement car la finalité du traitement lui est propre. Quant à l’éditeur, il met simplement à disposition un outil SaaS permettant effectivement à cette entreprise cliente de payer ses salariés.

Le RGPD considère donc ici que l’éditeur SaaS agit en tant que sous-traitant du client responsable de traitement.

Toutefois, les traitements de données personnelles réalisés à partir d’un outil Saas ont plusieurs finalités. Dans notre exemple, le logiciel Saas de gestion de paie peut avoir d’autres finalités que le paiement des salariés, ce qui peut, dans certains cas, remettre en question le statut de sous-traitant de l’éditeur Saas.

 

Le statut de responsable de traitement

 

Le responsable de traitement est celui qui détermine les finalités et les moyens mis en oeuvre afin de traiter des données personnelles. En clair, c’est lui qui fixe l’objectif du traitement et la façon de le réaliser.

Il doit à cet égard mettre en place un registre des traitements, appliquer les différentes mesures permettant de sécuriser les données, coopérer avec l’autorité de contrôle, à savoir la Commission Nationale de l’Informatique et des Libertés (CNIL) et garantir les droits des personnes faisant l’objet des traitements.

En fonction de la finalité du traitement concerné, le prestataire Saas peut à cet égard être qualifié de responsable de traitement.

Par exemple, l’éditeur Saas traite des données personnelles au titre de la connexion des utilisateurs au logiciel SaaS (login, mot de passe, etc) ou du support à l’utilisation du logiciel. Dans ce cas de figure, vous êtes responsable de traitement et non plus sous-traitant.

Vous l’aurez compris, la qualification dépend donc toujours de la finalité du traitement concerné.

 

Le statut de co-responsable de traitement

 

Le RGPD prévoit enfin un statut intermédiaire de “co-responsable” de traitement. Ce statut peut en effet être envisagé lorsque deux responsables de traitement déterminent conjointement la finalité de traitement concernée.

Dans le cadre du SaaS, on pourrait par exemple envisager une situation ou un client a participé au co-développement de la solution SaaS et pourrait donc assurer également le support de l’outil auprès des utilisateurs de manière conjointe avec l’éditeur SaaS. Dans un tel cadre, l’éditeur et le client seraient alors tous deux susceptibles de collecter les données personnelles des utilisateurs afin de fournir les prestations de support (par exemple via un support de premier niveau fourni par le client et de second niveau fourni par l’éditeur). Ils agissent donc ici en tant que co-responsables de traitement.

Cette situation de co-responsables de traitements ne concerne donc in fine que des cas assez isolés dans le cadre du SaaS.

 

Quelles sont les obligations contractuelles de l’éditeur SaaS en application du RGPD ?

 

La commercialisation d’un logiciel SaaS auprès de vos clients entraîne en premier lieu la nécessité d’avoir un contrat SaaS en place. Le contrat SaaS permet de formaliser les relations commerciales entre le client et le prestataire SaaS. De manière générale, le contrat SaaS doit contenir certaines clauses essentielles comme :

  • Les modalités d’abonnement ;
  • Les conditions financières ;
  • La maintenance du logiciel ;
  • La performance du service ;
  • La disponibilité du service ;
  • La sécurité du service et des données.

 

Pour aller plus loin : pour bien définir vos engagements contractuels de disponibilité et continuité de vos services, découvrez l'article de Me Znaty : SLA informatique et PCA, documents indispensables aux offres Saas

Pour rédiger votre contrat SaaS, il est recommandé de faire appel à un professionnel. En effet, le mode SaaS est un domaine très spécifique et la réglementation, notamment en matière de protection des données personnelles, ne cesse d’évoluer.

Avant d’être en conformité avec le RGPD, il convient en effet de mettre en place certains documents contractuels additionnels à votre contrat SaaS, dont la nature varie ici également sensiblement selon que vous agissez en tant que responsable de traitement ou bien sous-traitant.

 

En tant que sous-traitant : le “data processing agreement”

 

Lorsque que vous agissez en tant que sous-traitant, le RGPD vous impose d’annexer à votre contrat SaaS ce qu’on appelle un “Data Processing Agreement” (DPA) en anglais ou accord de sous-traitance de traitement de données personnelles en français.

Il s’agit de l’accord de sous-traitance conclu entre le client et le prestataire SaaS conformément à l’article 28 du RGPD. Le DPA a pour objectif de définir les conditions dans lesquelles vous traitez, en qualité de sous-traitant et en suivant les instructions données par votre client, ses données personnelles.

Conformément au RGPD, le DPA doit contenir des éléments obligatoires tels que :

  • L’identification des traitements sous-traités ;
  • Les obligations du sous-traitant ;
  • Les obligations du client responsable de traitement ;
  • Les mesures de sécurité mises en place ;
  • La localisation des données personnelles ;
  • L’identification des transferts de données personnelles ;
  • L’identification et les procédures d’acceptation des sous-traitants du sous-traitant ;
  • Les obligations de notification des failles de sécurité et violation de données ;
  • Les modalités de restitution ou suppression des données personnelles.

 

Là encore, il est fortement recommandé d’être accompagné par un professionnel pour établir votre DPA. Le DPA est par ailleurs un document certes obligatoire en vertu de la loi mais qui doit être négocié. En acceptant les DPA proposés par vos clients sans les négocier, vous risquez de vous exposer à des obligations et responsabilités venant s’ajouter aux obligations imposées par le RGPD.

 

En tant que responsable de traitement

 

Si vous avez le statut de responsable de traitement, il vous faut établir, en plus du contrat SaaS, un document visant à transmettre aux personnes concernées l’ensemble des informations exigées par le RGPD. Le plus souvent, ces informations seront transmises par l’éditeur SaaS via une politique de confidentialité.

Il s’agit du document qui informe les utilisateurs du logiciel SaaS de la manière dont vous traitez les données personnelles et qui vous identifie en tant que responsable de traitement.

Il convient notamment d’indiquer dans votre politique de confidentialité :

  • L’identité et les moyens de contacter le responsable de traitement ;
  • La nature des données personnelles qui sont collectées ;
  • La durée de conservation des données personnelles ;
  • Les finalités de collecte des données personnelles ;
  • Les bases juridiques permettant de collecter les données personnelles (ex: consentement ou exécution du contrat) ;
  • L’identité des destinataires des données personnelles ;
  • La manière dont est assurée la sécurité des données personnelles ;
  • Les droits des utilisateurs et autres personnes concernées par les traitements du logiciel SaaS (droit d’accès, droit de rectification, droit d’opposition, droit à l’oubli, droit à la portabilité, etc).

 

Il est important d’établir une politique de confidentialité complète et conforme au RGPD. Seul un professionnel du droit pourra vous y aider.

 

En tant que co-responsable de traitement

 

Si vous avez le statut de co-responsable de traitement, il vous faut établir, en plus du contrat SaaS, un accord de co-responsable de traitement avec votre client.

L’article 26 du RGPD implique ici de détailler au sein de cet accord les rôles respectifs des deux responsables conjoints de traitement vis-à-vis des personnes concernées par les traitements.

Toutefois, comme évoqué plus haut, cette situation de co-responsables de traitement est finalement assez rare en matière de contrat SaaS.

Vous l’aurez compris, la réglementation en matière de protection des données personnelles a un impact direct sur les contrats SaaS. Elle met à la charge du prestataire SaaS de nombreuses obligations, aussi bien en sa qualité de responsable de traitement que de sous-traitant, voir même en tant que co-responsable de traitement.

Avocat spécialisé en droit des nouvelles technologies, je suis à même de vous éclairer sur le cadre juridique des contrats SaaS et de vous aider à comprendre vos obligations. Je peux également vous assister dans la rédaction de la documentation nécessaire (contrat SaaS, DPA, politique de confidentialité,...).

Me Benjamin Znaty
Écrit par Me Benjamin Znaty
Droit du numérique
Droit commercial
Maître Benjamin Znaty (Cabinet Taylor Wessing) : Je conseille depuis plusieurs années une clientèle française et internationale de start-ups, PME et groupes internationaux dans leurs relations commerciales avec clients, partenaires commerciaux et fournisseurs. Je possède par ailleurs une expertise en droit des nouvelles technologies comprenant notamment la rédaction et négociation des contrats informatiques et la gestion des problématiques de propriété intellectuelle, protection des données personnelles et cyber-sécurité.
Vous avez encore des questions ? 🤔
Image des coach CaptainContrat
Posez-les gratuitement à l’un de nos coachs entrepreneuriaux.
Parler à un coach

Besoin d’aide ?

Tatiana - photo rappel sales (blog)
Nos coachs entrepreneuriaux sont à votre écoute
Besoin de conseils sur votre projet ? De poser toutes vos questions de vive-voix ? Contactez-nous 🙂
Prendre un rendez-vous

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

5 min
Quelles sont les conditions de validité et clauses indispensables d'un contrat commercial ?

La rédaction d'un contrat commercial ne s'improvise pas. Des conditions doivent être remplies pour assurer la validité du contrat et éviter tout litige futur avec les fournisseurs, prestataires ou clients. Me Znaty vous accompagne

5 min
Lancer son application mobile : les documents juridiques indispensables

Le lancement d'une application mobile ne s'improvise pas et est soumis au respect d’un cadre technique et juridique complexe. CGV, CGU, traceurs, cookies... doivent faire l'objet d'une documentation encadrée. Me Znaty vous accompagne.

5 min
Quelles sont les thématiques prioritaires de contrôle de la CNIL en 2022 sur les sites internets ?

L'utilisation des sites internet et l'échange de données personnelles ne cessent de croitre. Dans ce contexte les dérives se font plus nombreuses. La CNIL a dévoilé les thématiques prioritaires sur lesquelles ses contrôles porteront en 2022 sur les site internet. Me Znaty fait le point pour vous.

5 min
Editeur SaaS : Comment respecter le RGPD et l’arrêt Schrems II pour les transferts de données hors UE ?

Des décisions récentes sont venues bousculer le transfert de données hors de l'UE et notamment vers les USA. Clauses contractuelles types, garanties...quelles sont les précautions que doivent mettre en oeuvre les éditeurs SaaS basés en France ?

5 min
Cookies : votre site est-il conforme aux dernières directives de la CNIL ? - Webinar

La CNIL a diffusé de nouvelles recommandations quant à la réglementation des cookies. Les entreprises avaient jusqu'au 31 mars 2021 pour mettre leur site en conformité.

5 min
Violation de données personnelles en entreprise : comment réagir ?

Votre entreprise fait face à une violation de données personnelles ? Une faille ? Comment faire ? Me Benjamin Znaty vous livre les étapes à respecter pour identifier, corriger et notifier ces failles.

5 min
Cookies et traceurs : comment avoir un site web conforme ? - Les recommandations de la CNIL

Les cookies et traceurs sont devenus indispensables dans l'expérience de navigation des utilisateurs d'un site web. Mais leur utilisation n'est pas libre. Me Benjamin Znaty vous explique comment conformer votre site aux règles communiquées par la CNIL.

5 min
Plateformes en ligne et rubriques spécifiques de transparence : une convergence Française et Européenne

La réglementation des plateformes en ligne ne cesse de durcir : RGPD, cookies, politiques de confidentialité... Aujourd'hui, une politique de transparence s'impose, c'est-à-dire l’obligation pour la plateforme de délivrer une information claire, loyale et transparente. Le point avec Me Benjamin Znaty.

5 min
Marketplace : quelles sont vos obligations P2C (platform to consumers) vis-à-vis des consommateurs  ?

Les marketplaces mettant en relation des professionnels et des consommateurs sont tenues au respect d'un certain nombre d'obligations autour de 3 piliers : clarté, loyauté et transparence. Le point avec Me Benjamin Znaty;

5 min
Marketplace : quelles sont vos obligations en p2b vis à vis des professionnels ?

Un règlement européen est venu encadrer les pratiques des marketplaces vis-à-vis des professionnels : transparence, accès au données, règlement des litiges... Me Znaty décrypte le sujet et vous accompagne dans votre mise en conformité

5 min
Plateformes de mise en relation et marketplace : quels enjeux juridiques ? - Droit e-commerce

Vous envisagez de créer une marketplace ? La qualité des utilisateurs va déterminer le schéma contractuel et les règles à respecter. Attention si vous vous adressez à des consommateurs, à des professionnels ou les deux. Me Znaty vous livre ses conseils.

5 min
Prestataire et éditeur SaaS : quelle documentation établir pour répondre à un appel d’offres ? 

Vous êtes éditeur, prestataire Saas et vous souhaitez commercialiser auprès des entreprises votre solution « Software-as-a-Service » (SaaS) ? Me Znaty vous guide sur la documentation que vous devrez établir.

5 min
SLA informatique et PCA : documents incontournables des contrats informatiques et offres SaaS. Par Me Znaty

Qu'est-ce qu'un SLA (service level agreement) ? Comment le négocier dans un contrat SaaS ? Pourquoi mettre en place un PCA (Plan de continuité d'activité) ? Me Znaty répond.

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier