Si vous ne traitez pas vous-mêmes les informations personnelles des citoyens de l'UE, il est peu probable que vous soyez classé comme sous-traitants en vertu du RGPD (consultez l'article 3: Champ d'application territorial, p. 32-33). Si vous deviez exploiter une solution Software-as-a-Sevice (SaaS), alors vous seriez un contrôleur de données / sous-traitant (ou les deux) et le RGPD s'appliquerait certainement si vous avez des citoyens de l'UE comme clients / utilisateurs.
Bien que je ne vois aucune référence aux fournisseurs de logiciels dans le texte du RGPD, en tant que fournisseur de logiciels, il serait dans votre intérêt de vous assurer que vos produits répondent aux critères énoncés à l'article 25 (Protection des données dès la conception et par défaut, p .48) afin d'aider vos clients à se conformer, tels que:
-
Mettre en œuvre des mesures techniques appropriées, telles que la pseudonymisation, qui sont conçues pour mettre en œuvre les principes de protection des données, tels que les données minimisation, de manière efficace et pour intégrer les garanties nécessaires dans le traitement afin de répondre aux exigences du présent règlement et de protéger les droits des personnes concernées.
-
Mettre en œuvre les mesures techniques appropriées pour garantir que, par défaut, seules les données personnelles nécessaires à chaque finalité spécifique du processus g sont traités. Cette obligation s'applique à la quantité de données personnelles collectées, à l'étendue de leur traitement, à la durée de leur conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données personnelles ne sont pas rendues accessibles sans l'intervention de l'individu à un nombre indéfini de personnes physiques.
Ces mesures, ainsi que des mesures organisationnelles similaires, sont la responsabilité du responsable du traitement, mais à moins que votre logiciel ne l'aide à se conformer, il peut être contraint d'envisager des solutions alternatives qui réduisent leur risque global. Si votre logiciel dispose déjà d'un certain nombre de contrôles de ce type, il peut être utile de rédiger un livre blanc ou une communication similaire pour informer vos clients de la manière dont votre logiciel les aide à se conformer.
Il ne semble pas y avoir de responsabilité directe envers le fournisseur de logiciels via le RGPD. Si une violation de données est le résultat d'un défaut de conception ou d'un bogue de mise en œuvre dans le logiciel et que votre client se voit infliger une amende en conséquence, il est susceptible de vous poursuivre au motif que le logiciel n'est pas adapté à l'usage et ne dispose pas de la technique appropriée. contrôles nécessaires pour garantir la confidentialité des données. Dans ce cas, votre défense s'appuiera sur les enregistrements de la conception et de la mise en œuvre des contrôles, des enregistrements des tests logiciels et de la correction, et sur la mise en place de procédures appropriées pour garantir que les correctifs de sécurité peuvent être rapidement déployés auprès de vos clients lorsque cela est nécessaire.
Plus de précisions demandées:
Si votre organisation ne traite pas les données personnelles, aucun tiers ne les traite en votre nom (y compris les sociétés d'hébergement) ou n'y a jamais accès , alors vous n'êtes ni un contrôleur ni un processeur.
Cependant, si vos clients vous envoient des données personnelles ou vous accordent un accès temporaire aux données personnelles dans le cadre du dépannage de problèmes avec votre logiciel, alors vous seriez un sous-traitant dans ce contexte et auriez besoin d'un contrat approprié dans lieu et devrait garantir que les contrôles techniques et organisationnels appropriés sont mis en œuvre pour se conformer au RGPD et réduire le risque de violation de données personnelles. De plus, si des transferts internationaux de données ont lieu dans le cadre de cette opération (par exemple, l'envoi / l'accès à des fichiers sur Internet), vous devez vous assurer que votre organisation est en mesure de fournir un niveau de protection équivalent pour les droits des personnes concernées - par exemple si vous êtes aux États-Unis, vous devrez probablement adhérer volontairement à l'UE-États-Unis Privacy Shield ou utilisez les Clauses de contrat types de l'UE dans vos contrats afin qu'il soit légal pour les entreprises basées dans l'UE de vous utiliser en tant que sous-traitant de données. Pour plus d'informations sur les transferts internationaux, consultez la page Transferts de données hors UE de l'UE.
Réf: GDPR