Question:
Comment le RGPD s'applique-t-il aux logiciels développés par une entreprise et utilisés par une autre?
Joey
2017-12-27 21:52:11 UTC
view on stackexchange narkive permalink

Je travaille pour une société de développement de logiciels sur mesure et j'ai beaucoup lu sur le RGPD avant son entrée en vigueur l'année prochaine.

Cela a beaucoup de sens, mais j'ai vraiment du mal à savoir quel effet cela a sur nous - en particulier l'impact lorsque nous écrivons un logiciel qu'une autre entreprise utilise pour traiter les données de ses clients. Sommes-nous un contrôleur de données, un sous-traitant ou aucun des deux dans ce cas?

Si nous avions un accès direct aux données des clients pour tester le logiciel, je suis presque sûr que nous serions un sous-traitant, mais cela s'applique toujours si nous n'avons pas accès (ni hébergé) les données?

Une bonne âme pourrait-elle m'aider à comprendre?

Sources

Pour référence, voici les principales sources que j'ai consultées (ainsi que de nombreuses recherches infructueuses ...):

Malheureusement, la plupart de ce que j'ai lu concerne des entreprises fournissant un service (création et fonctionnement les logiciels eux-mêmes) plutôt que de simplement construire le logiciel.

Que dit l'avocat de votre entreprise sur les effets?
Nous sommes trop petits pour avoir un avocat d'entreprise (seulement 35 employés). Je fais pression pour que nous obtenions des conseils juridiques appropriés, mais je ne suis pas en mesure de les commander.
La raison pour laquelle je vous pose la question, c'est que vous êtes sur le point de demander des conseils juridiques spécifiques, ce qui est hors sujet ici. Et votre entreprise peut être tenue responsable si vous vous trompez dans vos décisions.
Même à 35 employés, vous êtes assez grand pour avoir des problèmes juridiques. Un avocat à plein temps peut être exagéré, mais les mandats sont une chose.
@cHao J'apprécie cela mais je ne suis pas celui qui prend ces décisions: - /.
@BlueDogRanch Serait-il utile de rendre la question plus générale? Ce qui m'intéresse, c'est comment interpréter la définition du processeur de données car ce n'est pas clair dans cette situation (et je n'ai pas d'expérience de la lecture de textes juridiques).
Un répondre:
richhallstoke
2018-03-07 23:29:25 UTC
view on stackexchange narkive permalink

Si vous ne traitez pas vous-mêmes les informations personnelles des citoyens de l'UE, il est peu probable que vous soyez classé comme sous-traitants en vertu du RGPD (consultez l'article 3: Champ d'application territorial, p. 32-33). Si vous deviez exploiter une solution Software-as-a-Sevice (SaaS), alors vous seriez un contrôleur de données / sous-traitant (ou les deux) et le RGPD s'appliquerait certainement si vous avez des citoyens de l'UE comme clients / utilisateurs.

Bien que je ne vois aucune référence aux fournisseurs de logiciels dans le texte du RGPD, en tant que fournisseur de logiciels, il serait dans votre intérêt de vous assurer que vos produits répondent aux critères énoncés à l'article 25 (Protection des données dès la conception et par défaut, p .48) afin d'aider vos clients à se conformer, tels que:

  1. Mettre en œuvre des mesures techniques appropriées, telles que la pseudonymisation, qui sont conçues pour mettre en œuvre les principes de protection des données, tels que les données minimisation, de manière efficace et pour intégrer les garanties nécessaires dans le traitement afin de répondre aux exigences du présent règlement et de protéger les droits des personnes concernées.

  2. Mettre en œuvre les mesures techniques appropriées pour garantir que, par défaut, seules les données personnelles nécessaires à chaque finalité spécifique du processus g sont traités. Cette obligation s'applique à la quantité de données personnelles collectées, à l'étendue de leur traitement, à la durée de leur conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données personnelles ne sont pas rendues accessibles sans l'intervention de l'individu à un nombre indéfini de personnes physiques.

Ces mesures, ainsi que des mesures organisationnelles similaires, sont la responsabilité du responsable du traitement, mais à moins que votre logiciel ne l'aide à se conformer, il peut être contraint d'envisager des solutions alternatives qui réduisent leur risque global. Si votre logiciel dispose déjà d'un certain nombre de contrôles de ce type, il peut être utile de rédiger un livre blanc ou une communication similaire pour informer vos clients de la manière dont votre logiciel les aide à se conformer.

Il ne semble pas y avoir de responsabilité directe envers le fournisseur de logiciels via le RGPD. Si une violation de données est le résultat d'un défaut de conception ou d'un bogue de mise en œuvre dans le logiciel et que votre client se voit infliger une amende en conséquence, il est susceptible de vous poursuivre au motif que le logiciel n'est pas adapté à l'usage et ne dispose pas de la technique appropriée. contrôles nécessaires pour garantir la confidentialité des données. Dans ce cas, votre défense s'appuiera sur les enregistrements de la conception et de la mise en œuvre des contrôles, des enregistrements des tests logiciels et de la correction, et sur la mise en place de procédures appropriées pour garantir que les correctifs de sécurité peuvent être rapidement déployés auprès de vos clients lorsque cela est nécessaire.

Plus de précisions demandées:

Si votre organisation ne traite pas les données personnelles, aucun tiers ne les traite en votre nom (y compris les sociétés d'hébergement) ou n'y a jamais accès , alors vous n'êtes ni un contrôleur ni un processeur.

Cependant, si vos clients vous envoient des données personnelles ou vous accordent un accès temporaire aux données personnelles dans le cadre du dépannage de problèmes avec votre logiciel, alors vous seriez un sous-traitant dans ce contexte et auriez besoin d'un contrat approprié dans lieu et devrait garantir que les contrôles techniques et organisationnels appropriés sont mis en œuvre pour se conformer au RGPD et réduire le risque de violation de données personnelles. De plus, si des transferts internationaux de données ont lieu dans le cadre de cette opération (par exemple, l'envoi / l'accès à des fichiers sur Internet), vous devez vous assurer que votre organisation est en mesure de fournir un niveau de protection équivalent pour les droits des personnes concernées - par exemple si vous êtes aux États-Unis, vous devrez probablement adhérer volontairement à l'UE-États-Unis Privacy Shield ou utilisez les Clauses de contrat types de l'UE dans vos contrats afin qu'il soit légal pour les entreprises basées dans l'UE de vous utiliser en tant que sous-traitant de données. Pour plus d'informations sur les transferts internationaux, consultez la page Transferts de données hors UE de l'UE.

Réf: GDPR

Comme c'est la question exacte que j'allais poser (1er de cette communauté SO!), J'aimerais obtenir une réponse plus précise: étant donné que mon entreprise développe des logiciels destinés aux citoyens de l'UE, mais nous ( le vendeur), ne collectez aucune donnée et les clients inscriront eux-mêmes leurs propres collègues ... ils sont clairement le contrôleur des données. Je pense qu'ils sont aussi des processeurs (ils collectent, arrangent, ordonnent, filtrent et mettent à jour leurs propres données). Et nos produits sont conformes au règlement et aux normes ISO pertinentes. Donc, en tant que fournisseur, sommes-nous des processeurs, des contrôleurs ou aucun?
@jonayreyes J'ai mis à jour la réponse pour vous donner plus de précisions.
J'aimerais pouvoir le voter davantage, merci beaucoup @richhallstoke


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...