Pour aider les entreprises à se mettre en règle avec le RGPD, les éditeurs de logiciels sont en première ligne et vont continuer à l'être après l’entrée en vigueur, ce 25 mai, du règlement européen sur la protection des données personnelles. En France, un éditeur tel que Cegid, très présent auprès des PME avec ses logiciels de gestion, en a largement anticipé l’arrivée, à l’instar des autres fournisseurs de solutions. Outre la mise à jour de ses différentes catégories de logiciels (paie, finance, RH, retail…) pour intégrer les obligations imposées au niveau européen, Cegid a réalisé plusieurs parcours de formation en ligne. Il y explique à ses clients les principes du règlement appliqués aux différents logiciels qu'ils utilisent. « Nous avons identifié les points-clés du GDPR afin d’établir quelles fonctions nous devions ajouter à nos produits pour permettre à nos clients de respecter le règlement », nous a expliqué Sylvain Moussé, directeur technique de Cegid. Dans le même temps, l’éditeur basé à Lyon a également incité ses clients à aller vers le cloud, faisant valoir que le niveau de sécurisation des données est beaucoup plus important en mode SaaS. « L’environnement est certifié ISO 27001, gage de sécurité au sens large sur les données », rappelle le CTO.

Pour Cegid, la mise en règle avec le RGPD a nécessité des mises à jour à plusieurs niveaux. En prenant l’exemple de ses logiciels de gestion des ressources humaines, l’éditeur a d’abord travaillé sur la traçabilité des accès et des actions. « Nous donnons les moyens au DRH de savoir qui a eu accès à quelles informations et quand », explique Sylvain Moussé. Si un salarié se plaint que ses données personnelles ont été communiquées, le DRH peut retrouver qui les a consultées et à quel moment. Les entreprises, quelle que soit leur taille, ont l’habitude de mettre régulièrement à jour leurs logiciels de gestion qui sont soumis à de nombreuses réglementations. Les dispositions concernant le RGPD vont donc se mettre en place petit à petit, estime Sylvain Moussé.

Minimisation des données, restitution et portabilité

Un autre point-clé du règlement européen concerne la minimisation des données. « Dans nos logiciels, une fonction va permettre d’effacer les données que l’on a pu collecter et qui ne sont pas absolument nécessaires », décrit le directeur technique de Cegid. Celles-ci pourront être paramétrées dans les bases champ par champ pour être supprimées. « Un autre point porte sur tout ce qui touche au droit à l’oubli, nous avons ajouté une fonction pour l’automatiser en demandant que les données ne soient pas conservées », poursuit Sylvain Moussé. Toutefois, dans les applications de paie, notamment, certaines données doivent être légalement gardées pendant une durée précise. Le logiciel indique donc quelles sont celles qui ne peuvent pas être effacées jusqu’à telle ou telle date. 

Gérer le consentement des utilisateurs est l'un des points-clés du RGPD. (agrandir l'image)

Dans les logiciels de gestion RH, la minimisation des données permet de supprimer certaines informations qui ne sont pas absolument nécessaires pour les traitements. (agrandir l'image)

« Il y a ensuite des fonctions qui permettent de restituer les données personnelles ». En un clic, une fonctionnalité permet de créer un fichier zip qui contient toutes les données en PDF contenues dans le système RH pour un salarié donné (contrat de travail, bulletins de salaire, etc.). Quant à la portabilité des données, sur les logiciels de paie, elle est facilitée à travers le coffre-fort numérique de PeopleDoc mis à la disposition des utilisateurs. Enfin, l’enregistrement du consentement au recueil des données personnelles est géré via le portail de fonctions en self-service. « Pour respecter au mieux le nouveau règlement européen, les évolutions de nos logiciels ont été mises petit à petit à la disposition de nos clients », indique Sylvain Moussé. « Les premières versions sont simples et manuelles, par exemple sur l’effacement des données dans les fiches salariés ». Elles conviennent aux petites structures. Des fonctions d’automatisation sont également proposées aux plus grandes. Pour la mise en oeuvre, les entreprises qui le souhaitent peuvent se référer aux parcours de Digital Learning de l'éditeur (pour les RH, la comptabilité, etc.). On y explique par exemple comment préparer le registre de traitement des données et comment gérer le consentement des utilisateurs.

La responsabilité du sous-traitant

En matière de RGPD, il y a deux responsabilités, celle du responsable du traitement et celle du sous-traitant. En tant qu'éditeur, Cegid a lui aussi fait évoluer ses pratiques concernant ses clients. « Lorsque l'on fait du support, nous accédons parfois à leurs données pour comprendre ce qui se passe », rappelle Sylvain Moussé. « Si un fichier que nous confie un client contient des données personnelles, il ne faut pas qu'il subsiste dans nos équipements. Nos consultants doivent procéder de la même façon lorsqu'ils installent les logiciels chez les clients, chaque personne au contact avec les clients a revu ses pratiques. Le RGPD, c'est donc un travail de fond, dans nos produits, dans l'accompagnement de nos clients et dans les pratiques ».

Il y a deux mois, Cegid a organisé une réunion d'information pour ses clients à Paris où 300 personnes se sont déplacées. « Il y a eu énormément de questions », indique le CTO qui estime que les clients PME sont en train de prendre la dimension exacte de ce qu'il faut faire pour respecter le règlement. Les grandes entreprises ont quant à elle déjà fait ce qu'il fallait pour revoir les modèles contractuels. « Nous avons aussi publié un avenant type sur nos modèles de contrat pour montrer comment ils sont impactés ». Dans les prochaines semaines, l'éditeur s'attend tout de même à recevoir beaucoup d'appels sur ses centres de support. Ce n'est que le début. En France, la CNIL va laisser aux petites et moyennes entreprises le temps de s'adapter. La Commission vérifiera « si le processus est bien engagé pour se mettre en règle, il y a un temps de compréhension », ajoute le directeur technique qui rappelle que la France est en avance sur ce contexte règlementaire avec la loi Informatique et Libertés qui oblige les entreprises à déclarer les fichiers qu'elles détiennent sur les données personnelles. En revanche, il n'y aura pas de souplesse sur ce dernier point, il faudra être en règle avec la loi. 

« En interne, chez Cegid, pour la culture générale de nos collaborateurs, nous avons utilisé le gaming et des quizz pour être sûrs que la réglementation est bien comprise et pour modifier les habitudes de travail », conclut Sylvain Moussé. Globalement, il estime que la mise en application du RGPD va se faire petit à petit. « C'est une somme de petites choses à mettre en place et il faut perdre l'habitude de demander des données qui ne sont pas vraiment nécessaires ».