Leader français des logiciels de gestion et expert en infrastructure réseaux

 Accueil >  Services >   Support 
Menu des thèmes

Lettres d'information

Actualités

Prise en charge du RGPD dans les logiciels LD SYSTEME
Note créée le 26/3/2018, dernière modification le 27/4/2018

Préambule

Le nouveau règlement général sur la protection des données (RGPD) entre en application le 25 mai 2018.
Il a pour objectif de renforcer et unifier la protection des données pour les individus au sein de l'Union européenne. Il concerne toute information se rapportant à une personne physique identifiée ou identifiable.

Pour en savoir plus, voici quelques liens utiles :



Impact sur les logiciels LD SYSTEME

Mises à jour du 27/04/2018, repérées en violet

Tous les logiciels manipulant des données personnelles sont concernés par ce RGPD. Pour ce qui est des progiciels LD SYSTEME, c'est le cas principalement de LDPaye bien sûr, où les données personnelles sont présentes partout par nature, mais aussi de LDNégoce ou LDCompta où l'on peut trouver des données personnelles, notamment dans les fichiers Tiers (clients « particuliers », contacts, représentants...). 

Nous avons donc commencé à travailler sur ce sujet.
Déjà, dans LDPaye Version 9.50, nous avons renforcé l'authentification des utilisateurs, première étape de la sécurisation des données (mot de passe « fort », fichiers d'environnement cryptés...).
Ces nouvelles règles d'authentification seront mises en œuvre de la même façon dans les prochaines versions de LDCompta et LDNégoce.

De plus, dans les prochaines versions de LDPaye (Version 9.60 attendue en septembre 2018) et LDNégoce (Version 6.00 attendue au 2ème semestre 2018), d'autres modifications sont attendues :
  • tous les fichiers contenant des données nominatives sont cryptés et protégés par mot de passe. De ce fait, ces données ne sont plus accessibles en dehors des logiciels eux-même. Et même pour y accéder aux travers des outils standards de PCSoft (Centre de contrôle HyperFile, WDSQL ou WDMap, pilote ODBC sur HyperFile), il faut saisir un mot de  passe « secret » qui est particulièrement complexe et qui diffère d'une entreprise à l'autre. Seul LD SYSTEME est en capacité de retrouver ce mot de passe en dernier recours. 
  • les exports de données via les FAA (Fonctionnalités Automatiques d'Application, comme par exemple, clic droit sur une table de données puis option Export vers Excel) sont protégés au travers de la gestion des sécurités propre à chaque logiciel. Et cela avec deux niveaux distincts : l'un concerne toutes les fenêtres pouvant présenter des données nominatives (c'est à dire des données relatives à des personnes physiques entrant donc dans le cadre du RGPD), le second englobant toutes les autres fenêtres. Par défaut, lors de l'installation de ces nouvelles versions, l'export de données est interdit pour toutes les fenêtres présentant des données nominatives. Il faudra l'autoriser explicitement pour le ou les utilisateurs souhaités.
    Notez que l'on peut également protéger par ce même procédé les copies d'écran.

Remarque : concernant LDPaye, il est facile d'identifier les fichiers où l'on a des données nominatives. Cela concerne toutes les données enregistrées dans les fiches salariés, ainsi que d'autres données un peu « sensibles » (mais pas sensibles au sens du RGPD, car on n'a aucune donnée sensible au sens RGPD dans LDPaye). Citons par exemple les arrêts de travail ou autres périodes d'inactivité, les taux de prélèvement à la source, les événements (visites médicales...).
Pour ce qui est de LDNégoce, c'est plus délicat.  Dans un logiciel de gestion commerciale, on enregistre quantité de données relatives à des tiers. Mais ces tiers peuvent être des personnes morales (c'est le cas le plus souvent, et cela n'entre pas dans le champ du RGPD) ou des personnes physiques (ventes à des particuliers par exemple). Ne pouvant pas à priori faire la différence, nous avons fait le choix de protéger les données de l'ensemble des tiers (clients, fournisseurs...) d'une part en cryptant les fichiers correspondant, d'autre part en considérant que toutes les données des tiers entrent dans le champ RGPD et sont donc protégées en tant que telles pour les exports. 

Pour ce qui est de LDCompta, les mêmes mesures seront mises en place dans la version 11, prévue pour début 2019. Là aussi, la protection s'étendra à tous les tiers gérés au sein du logiciel comptable, sur le même principe que LDNégoce.

Bien sûr, le fait de crypter ces fichiers n'est pas sans conséquence : tout partage de données entre différents logiciels (de différents éditeurs) devient très délicat. Or, bien souvent, les données présentes dans les fichiers tiers sont partagés entre un logiciel de gestion commerciale et le logiciel comptable. Si les données de ces fichiers sont cryptées, il devient impossible d'y accéder « directement » par lecture/écriture dans la base de données : il faut toujours passer par une interface. Cela suppose donc d'identifier tous les traitements partageant ainsi des données, puis de re concevoir ces traitements d'une autre manière. Pour un progiciel comme LDCompta présent sur le marché depuis plus de 20 ans, diffusé via de nombreux partenaires à un très grand nombre de clients, difficile de mesurer l'impact d'une telle mesure...

L'intégration des contraintes du RGPD dans des progiciels est donc un processus long et complexe.
Ce règlement a été prévu à la base pour imposer des normes assez contraignantes aux « gros » collecteurs de données nominatives que sont par exemple les réseaux sociaux ou autres applications « cloud ». Malheureusement, en étendant ce règlement à tout organisme manipulant des données personnelles, avec des sanctions à la clé totalement disproportionnées pour des PME (on parle de 10 à 20 millions d'euros), on oblige les entreprises à se lancer dans une démarche lourde (voir ici les 6 étapes préconisées par la CNIL) alors que les enjeux réels sont très faibles  :
  • Les données personnelles enregistrées dans un logiciel comptable sont minimes et bien souvent indispensables (nom-prénom, adresse postale, numéros de téléphone et éventuellement adresse mail).
  • Celles enregistrées dans un logiciel de paie sont plus nombreuses et parfois plus « sensibles », mais elles sont quasiment toutes indispensables à la réalisation des traitements demandés par l'administration (DSN, DADS-U, attestations Pôle Emploi...).

Enfin, notons que ce RGPD, sur bien des points, ne fait que renforcer l'ancienne Loi Informatique et Libertés en vigueur depuis 1978. Si l'on prend par exemple le cas d'un logiciel de comptabilité générale, la dispense de déclaration à la CNIL (Dispense DI-000, délibération N° 1980-034 du 21/10/1980) était assez restrictive quant aux données personnelles collectées (Nom et prénom, adresse, domiciliation bancaire, mais rien concernant les N° de téléphone ou une adresse mail par exemple ; il faut dire que cette dispense date de 1980 et que les usages informatiques ont bien changé en 35 ans). Et on était déjà tenu d'informer les personnes concernés lors de la collecte de ces données, en précisant notamment la finalité du traitement, le caractère obligatoire ou facultatif des données collectées, les destinataires de ces informations, l'existence de droits d'accès et  de rectification à ces données avec le service auprès duquel faire valoir ces droits... Un formalisme difficile à pratiquer dans le cadre d'une simple comptabilité et que l'on ne voit aujourd'hui nulle part. Difficile donc d'évaluer ce que le RGPD va changer à ces pratiques. 

 

\n