Suivi à distance des imprimantes dans le cloud et conformité avec le RGPD

Le règlement européen 679/2016 (RGPD) fixe de nouvelles normes relatives à la gestion des données personnelles, notamment pour les entreprises qui utilisent des systèmes de suivi à distance des imprimantes. Vous trouverez ci-dessous une auto-évaluation pour déterminer si votre entreprise respecte ou non la réglementation.

Pour les entreprises du secteur de l’impression, le suivi à distance dans le cloud est désormais un élément essentiel de l’infrastructure informatique. Les revendeurs, fournisseurs et prestataires de services de gestion d’impression du monde entier utilisent des applications SaaS (Software as a Service) basées sur le cloud pour relever et enregistrer les données, les compteurs, les niveaux de toner et d’autres informations nécessaires au suivi à distance, afin de gérer les contrats de paiement à l’usage et automatiser la fourniture de consommables aux utilisateurs finaux.

Compte-tenu de l’évolution soudaine du marché et des scénarios hautement concurrentiels actuels, les avantages de l’utilisation des plates-formes de suivi SaaS sur le cloud sont tangibles : logiciels constamment mis à jour, procédures d’assistance centralisées, absence de coûts d’infrastructure, temps de mise en service très courts, voilà quelques-unes des nombreuses caractéristiques qui rendent ces solutions extrêmement avantageuses et performantes.

Cependant, comme toujours, un grand pouvoir implique de grandes responsabilités.

Nous savons tous à présent que toute entreprise ayant des clients situés en Europe doit se conformer aux directives du règlement général sur la protection des données 2016/679 (RGPD) pour toutes les activités de traitement des données personnelles des citoyens européens. Les revendeurs d’imprimantes et les fournisseurs de services de gestion d’imprimantes ne font pas exception, puisque le RGPD s’applique également à la gestion des données personnelles dans les systèmes SaaS de suivi à distance.

L’article 4.1 du RGPD précise clairement que les données à caractère personnel désignent « toute information se rapportant à une personne physique identifiée ou identifiable », avec une référence particulière aux : noms, adresses physiques, identifiants en ligne comme une adresse e-mail liée à une identité physique.

Prenons l’exemple d’un revendeur d’imprimantes et de MFD qui utilise l’un des nombreux systèmes de suivi SaaS disponibles sur le marché. L’utilisation d’un tel système peut-elle entraîner des risques supplémentaires d’infraction au RGPD ?

La réponse à cette question dépend de plusieurs facteurs :

  • Type de données traitées : données personnelles ou commerciales ;
  • Niveau de protection des données mis en œuvre par le fournisseur SaaS ;
  • Existence d’un sous-traitant des données nommé par l’entreprise auprès du fournisseur SaaS, comme le prévoit l’article 28 du RGPD ;
  • Niveau de conformité au RGPD assuré par le fournisseur SaaS ;
  • Emplacement physique des serveurs (à l’intérieur ou à l’extérieur du territoire européen) où le fournisseur SaaS héberge ses applications et où les données sont gérées et stockées.

Si seules des données techniques sont traitées dans le système SaaS, ou uniquement des données d’entreprise concernant des personnes morales, celles-ci ne sont PAS sous la protection du RGPD et il n’est PAS nécessaire de les gérer conformément au RGPD. Dans ce scénario, tous les facteurs énumérés ci-dessus ne sont pas pertinents pour la conformité de l’entreprise et, très probablement, vous n’aurez rien à craindre.

Si, en revanche, des données personnelles de citoyens européens sont transférées vers un système SaaS, telles que des noms de personnes, des adresses électroniques personnelles, des numéros de téléphone ou toute autre information concernant une personne identifiable, ces données doivent être traitées conformément aux exigences du RGPD. Dans ce cas, tous les points énumérés ci-dessus deviennent extrêmement importants et devront être soigneusement pris en compte lors de la vérification de votre conformité à la loi.

Comment s’auto-évaluer pour être sûr que les activités de gestion des données dans le SaaS sont correctes aux fins du RGPD ?

Vous trouverez ci-dessous une courte liste de questions à se poser pour évaluer l’état de l’environnement cloud SaaS utilisé par votre entreprise :

  1. Est-ce que vous conservez dans la base de données SaaS les noms et/ou adresses électroniques personnelles, par exemple pour envoyer des alertes, des rapports, des notifications, des messages électroniques, etc. ou d’autres données à caractère personnel comme indiqué à l’article 4.1 du RGPD ?
    – Si non, vous n’aurez probablement pas à vous soucier du respect des exigences du RGPD.
    – Si oui, vous devrez vous poser les questions suivantes.
  2. Le fournisseur SaaS a-t-il fourni des informations claires et complètes sur le niveau de sécurité et de protection qu’il a mis en place dans la gestion des données personnelles ?
  3. Un contrat désignant un sous-traitant des données (contrat de traitement des données) a-t-il été signé avec le fournisseur SaaS ? Ce type de contrat est juridiquement contraignant et la sécurité, les procédures relatives à la protection et aux politiques, les rôles et les responsabilités ainsi que les autres dispositions requises par la loi y sont clairement exprimés et acceptés par le fournisseur SaaS ?
  4. Le fournisseur SaaS a-t-il officiellement nommé un délégué à la protection des données pour votre entreprise ?
  5. Le fournisseur SaaS a-t-il fourni une certification attestant de l’existence de procédures de traitement des données personnelles pleinement conformes aux exigences du RGPD ?
  6. Les serveurs SaaS sont-ils situés dans un pays de l’UE ?
    – Si tel est le cas, il n’y a pas d’autres exigences sur ce point, car le RGPD n’impose aucune contrainte sur le transfert de données au sein de l’UE.

    – Si ce n’est pas le cas, vous devez vous assurer que le transfert des données vers le pays de destination des données est autorisé. Seule la Commission européenne a la pouvoir de décider si le pays de destination est adéquat au sens du RGPD. En l’absence de décision de la Commission, des garanties supplémentaires, telles que des règles d’entreprise contraignantes ou des clauses types sur la protection des données dans les contrats, doivent être mises en place.

    – Si le système cloud SaaS est situé aux États-Unis (ce qui est le cas le plus courant pour de nombreux fournisseurs de solutions de suivi SaaS), le fournisseur doit être inclus dans la liste du bouclier de protection des données UE-États-Unis, pour faciliter la vérification de sa conformité.

  7. Le fournisseur SaaS possède-t-il une certification en matière de confidentialité et de sécurité de l’information, telle que la certification ISO/CEI 27001 ?

En l’absence de réponses claires à ces questions, il existe un risque réel d’avoir des difficultés à respecter le RGPD dans vos activités de traitement des données personnelles.

En conclusion, il convient de garder à l’esprit que dans toute situation où un responsable du traitement (la société) transfère des données à caractère personnel de citoyens européens à un responsable externe (le fournisseur SaaS), le responsable du traitement doit s’assurer et démontrer que l’activité de traitement est menée dans le respect absolu du RGPD.

Essayez MPS Monitor gratuitement sur votre flotte