Conformité mondiale SaaS : Liste de contrôle pour audit

L'avantage des entreprises qui vendent des SaaS en ligne est qu'elles peuvent s'internationaliser dès le départ. Toute personne disposant d'une connexion Internet peut devenir un client, de sorte que n'importe quel pays peut constituer un marché potentiel pour vos produits.

L'industrie du SaaS est pleine d'opportunités. Mais c'est aussi un environnement massif et complexe.

Lorsque COVID-19 a déplacé une grande partie de nos vies en ligne, une augmentation des nouvelles réglementations mondiales en matière de données a rapidement suivi. Plus de 132 pays ont désormais mis en place leurs propres lois et réglementations.

Êtes-vous au courant des dernières politiques ? Consultez notre liste de contrôle d'audit SaaS pour commencer à devenir une entreprise respectueuse de la vie privée.

Que faut-il pour que vos entreprises SaaS soient conformes ?

La "conformité" signifie que votre entreprise ou votre produit répond à l'ensemble des réglementations d'un organisme de certification, qui dépend de l'endroit où vous et votre client êtes basés.

Il peut être relativement simple, dans un contexte local, d'être une entreprise mondiale respectueuse de la confidentialité des données. Mais si votre portée est plus large, les choses deviennent plus complexes. Par exemple, si vous exercez des activités commerciales sur plusieurs marchés, il peut être nécessaire d'adhérer à de nombreux ensembles différents de lois, de politiques et de réglementations en fonction de votre emplacement et de celui de vos clients.

Dans le secteur du SaaS, la confidentialité des données à l'échelle mondiale implique la façon dont votre entreprise s'engage auprès de ses clients actuels et potentiels et de leurs données, c'est-à-dire la façon dont vous traitez leurs informations sensibles et préservez leurs droits à la confidentialité.

Pourquoi la conformité est-elle importante ?

Le paysage mondial actuel

Chaque jour, des millions de clients partagent leurs données personnelles avec des entreprises du monde entier. Cela est vital pour la plupart des applications SaaS et des entreprises, car les informations doivent être capturées pour les abonnements et les services de compte.

Cependant, la saisie de ces données impose une grande responsabilité aux entreprises. Les organisations d'aujourd'hui doivent s'assurer que les données personnelles de leurs clients sont stockées et traitées en toute sécurité et qu'elles maintiennent des niveaux appropriés de confidentialité. Si elles ne le font pas, les informations peuvent être vulnérables aux failles de sécurité et aux piratages. Cela peut également entraîner des problèmes juridiques et un manque de confiance de la part des clients.

La possibilité de financement des startups SaaS

Alors que Covid a frappé le monde, démontrant que la sécurité est un concept inventé, le financement des startups SaaS est devenu plus un plan de survie. Capitaliser sur les processus existants est possible tant que vous avez réussi à créer une infrastructure de revenus. Cette idée est fortement liée à la conformité, car il n'y a pas de flux de revenus réguliers sans une conformité totale. Par conséquent, pour garantir la possibilité d'un financement SaaS, les développeurs doivent se conformer à toutes les règles et réglementations de conformité, locales et mondiales, s'ils souhaitent se développer à l'étranger.

Attentes des clients

En matière de confidentialité des données, les consommateurs d'aujourd'hui veulent que leurs informations personnelles soient sécurisées. Les clients réclament de plus en plus une sécurité renforcée des données, comme le montre une enquête Cisco de 2019 qui indique que 32 % des personnes interrogées se soucient profondément de la confidentialité. En outre, les clients sont prêts à agir lorsqu'ils sont mécontents et le font souvent en changeant de fournisseur.

De nombreux gouvernements réagissent en mettant en œuvre des politiques, des lois et des réglementations plus strictes, de sorte que pour les applications SaaS, la pression est forte pour s'assurer qu'elles répondent aux exigences pertinentes.

Les risques de non-conformité

Le non-respect des lois et réglementations en matière de confidentialité et de données peut coûter cher à votre solution SaaS. Le non-respect des politiques et réglementations en matière de confidentialité pour des pays ou des secteurs spécifiques peut entraîner :

De lourdes amendes

Poursuites judiciaires

Emprisonnement

Dans certains cas, le non-respect des politiques de confidentialité et des réglementations relatives aux données peut entraîner l'interdiction de l'utilisation de votre produit ou de vos activités commerciales dans certaines zones, juridictions ou pays.

Non-conformité : Une étude de cas

TikTok est un exemple utile d'une entreprise mondiale confrontée à un litige de non-conformité.

Cette plateforme populaire de partage de vidéos est détenue par la société chinoise ByteDance et compte plus de 800 millions d'utilisateurs dans le monde. En 2020, les États-Unis ont qualifié TikTok de menace pour la sécurité nationale, craignant que les données des utilisateurs ne soient pas sécurisées.

La question portée devant les tribunaux concernait la collecte de données sur les enfants sans le consentement des parents. Ces données comprenaient des numéros de téléphone, des vidéos, des localisations exactes et des données biométriques.

La plainte initiale en recours collectif affirmait que TikTok n'avait pas obtenu le consentement des utilisateurs et ne les avait pas informés de la collecte de leurs données biométriques. Il est également allégué que TikTok a partagé et profité de ces données. 

La demande a été faite au nom de tous les utilisateurs mineurs, qu'ils aient eu des comptes actifs ou non. En avril 2021, TikTok a demandé un règlement de 92 millions de dollars (mais celui-ci n'a pas encore été approuvé).

Bien que TikTok ne soit pas une société SaaS, sa portée mondiale et la collecte de données personnelles qu'elle effectue sont comparables à celles de toute solution SaaS. Cette affaire montre clairement que les problèmes de confidentialité des données peuvent avoir des conséquences coûteuses.

5 étapes pour la conformité des entreprises : Liste de contrôle de l'audit SaaS

1. S'informer sur les différentes réglementations

Il est essentiel de se tenir au courant des dernières réglementations en matière de confidentialité des données pour devenir ou rester conforme. Cela est particulièrement important si vous cherchez à étendre votre activité à d'autres pays ou régions ou dans un secteur spécifique, car les réglementations peuvent être très différentes.

Nous avons inclus certaines des réglementations les plus courantes et les plus connues pour que vous puissiez les examiner de plus près, mais il ne s'agit que d'une petite sélection des réglementations relatives à la confidentialité des données dans le monde qui peuvent affecter votre entreprise.

Exemples d'importantes réglementations et normes de conformité SaaS

Contrôle organisationnel des services 2 (SOC 2)

Service Organizational Control 2 est un processus d'audit basé sur les "Trust Services Criteria" de l'American Institute of Certified Public Accountants (AICPA). Les entreprises peuvent l'utiliser pour vérifier si leurs systèmes d'information respectent les principes du SOC 2.

La norme SOC 2 est spécifiquement conçue pour les organisations qui stockent des données clients dans le cloud. Il est donc applicable à presque toutes les applications SaaS et constitue l'un des cadres de conformité les plus courants. Pour devenir conforme à la norme SOC 2, votre entreprise devra établir et suivre des politiques de données strictes. Celles-ci couvrent la sécurité, la disponibilité, l'intégrité du traitement et la confidentialité de toutes les données stockées dans le cloud.

Règlement général sur la protection des données de l'UE (RGPD)

Le Règlement général sur la protection des données est une législation complète de l'Union européenne qui prévoit des droits en matière de données pour les individus et augmente les responsabilités de conformité pour les organisations et les entreprises. Le GDPR empêche les entreprises d'aller trop loin et donne aux citoyens l'assurance que les entreprises traitent leurs données correctement. La fonction principale du GDPR est de donner aux citoyens plus de contrôle sur leurs données. Il donne également aux régulateurs plus de pouvoir pour imposer des amendes aux organisations qui enfreignent cette loi.

En vertu du GDPR, les citoyens européens peuvent accéder à leurs données, corriger les erreurs, effacer leurs données, s'opposer au traitement de leurs données et exporter leurs données. À l'inverse, le GDPR impose aux entreprises de fournir des informations sur la finalité, la nature et la durée de stockage des données.

Les entreprises opérant dans le cadre des directives GDPR doivent également informer leurs clients en cas de violation de la sécurité dès qu'elles en ont connaissance. Des protections doivent être mises en place pour prévenir ces violations, et dans le cas contraire, l'entreprise peut être confrontée à des amendes massives.

Même si votre entreprise de logiciels en tant que service est basée aux États-Unis ou ailleurs, le GDPR reste essentiel à comprendre, car vous pouvez avoir une certaine portée dans les pays européens ou avec des clients européens.

Norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS)

Lancée en 2006, la norme de sécurité des données de l'industrie des cartes de paiement est un ensemble d'exigences visant à garantir que toutes les entreprises qui traitent, stockent ou transmettent des informations relatives aux cartes de crédit maintiennent un environnement sécurisé. La norme a été créée pour renforcer les contrôles sur les données des titulaires de cartes et réduire la fraude par carte de crédit en introduisant des normes de sécurité strictes et en améliorant la sécurité des comptes tout au long du processus de transaction.

PCI DSS est administré et géré par le PCI SSC (Security Standards Council), un organisme indépendant formé par Visa, Mastercard, American Express, Discover et JCB. PCI DSS s'applique à toute organisation qui accepte, stocke ou transfère des informations sur les titulaires de cartes, quelle que soit sa taille ou le nombre de transactions qu'elle traite.

S'il existe 12 conditions claires pour obtenir la norme PCI DSS, chacune d'entre elles s'accompagne de nombreuses sous-exigences spécifiques. La conformité exige également l'adoption et l'adhésion à une politique de sécurité de l'information spécifique, ce qui la rend incroyablement difficile à obtenir.  Il existe quatre niveaux de conformité PCI différents, chacun étant attribué à une entreprise en fonction du nombre de transactions qu'elle traite annuellement.

Loi californienne sur la protection de la vie privée des consommateurs (CCPA)

La loi californienne de 2018 sur la protection de la vie privée des consommateurs offre aux consommateurs californiens des droits à la vie privée et une protection des consommateurs renforcés. Les règlements de la CCPA fournissent des orientations sur la mise en œuvre des droits de la loi sur la protection de la vie privée pour les consommateurs californiens et donnent un plus grand contrôle sur les informations que les entreprises collectent à leur sujet et sur la manière dont elles sont utilisées et stockées.

Elle donne également aux consommateurs le droit de supprimer les informations personnelles collectées à leur sujet, le droit de refuser que leurs informations personnelles soient vendues, le droit à la non-discrimination pour l'exercice de ces droits et le droit à des avis expliquant leur politique de protection de la vie privée.

L'Organisation internationale de normalisation (ISO)

L'Organisation internationale de normalisation élabore des normes par l'intermédiaire des comités ISO. Elle travaille également avec la Commission électrotechnique internationale (CEI) sur des questions de normalisation électrotechnique et fournit des critères pour les systèmes de gestion de la sécurité de l'information (SGSI). Ces derniers examinent les risques liés à l'information et aident les entreprises à les identifier et à les gérer.

L'ISO/CEI n'est pas une réglementation en tant que telle, mais plutôt un ensemble de normes que vous pouvez utiliser pour gérer votre conformité aux risques de sécurité. Vous pouvez l'utiliser comme point de départ d'une évaluation formelle pour obtenir une accréditation officielle auprès d'auditeurs certifiés. Pour ce faire, vous devez présenter une politique de sécurité de l'information, un processus d'évaluation des risques et des preuves de surveillance de la sécurité.

Les entreprises SaaS peuvent utiliser la norme ISO/IEC. Qui plus est, elle peut être appliquée à n'importe quel secteur, taille et marché.

Réglementations spécifiques à l'industrie aux États-Unis

Au-delà des réglementations et normes plus générales ou couramment rencontrées mentionnées ci-dessus, vous devrez vous familiariser avec toutes les autres règles spécifiques qui s'appliquent à vos applications SaaS dans tous les pays dans lesquels vous opérez. Aux États-Unis, par exemple, vous devrez peut-être tenir compte des éléments suivants :

1. 1. • Loi sur la portabilité et la responsabilité en matière d'assurance maladie
      • Règlement de New York sur la cybersécurité
      • Conseil fédéral d'examen des institutions financières
      • Réglementations spécifiques à l'industrie aux États-Unis

2.  Le droit et le traitement des données

Les entreprises SaaS doivent rester du bon côté de la loi en ce qui concerne le traitement des données de leurs clients, sinon vous risquez un procès. Vous devez être très clair sur la raison pour laquelle vous traitez leurs informations et sur l'usage que vous en faites. Examinons cela plus en détail dans le cadre de votre liste de contrôle d'audit SaaS.

Évaluations d'impact sur la protection des données

Il est essentiel de réaliser une analyse d'impact sur la protection des données. Cette évaluation doit inclure les types de données que vous traitez, la finalité de ce traitement, les personnes qui y ont accès au sein de l'organisation et en dehors, la manière dont vous prévoyez de protéger les informations de vos utilisateurs et le moment où vous comptez les effacer. L'Information Commissioners Office (ICO) fournit toutes les informations nécessaires pour créer votre propre DIPA, y compris un modèle type.

Justifications et informations juridiques pour les politiques de confidentialité

Ensuite, réfléchissez bien aux raisons pour lesquelles vous traitez des données, puis informez vos clients de votre raisonnement. Cette communication doit expliquer comment les données des clients sont traitées, qui y a accès et comment vous les sécurisez. Exposez tout clairement et simplement dans votre politique de confidentialité.

3. Sécurité des données

Politiques de protection des données

Les fournisseurs de SaaS doivent être explicites sur la sécurité des données à tout moment. Incluez les deux facteurs ci-dessous pour vous assurer que vous restez en conformité :

1. 1. • Protection des données dès la conception
        
        Cela signifie que vous devez prendre en compte la confidentialité et la sécurité des données dès la phase de conception de tout nouveau système, service, processus ou produit. Vous devez maintenir la sécurité tout au long du cycle de vie.
        
        
      • La protection des données par défaut
        

        Cela signifie que vous ne traitez que les données nécessaires à la réalisation d'un objectif spécifique. Précisez ce que cela implique, puis informez vos clients avant le début du processus.

Politiques de sécurité interne

Il est important de créer également une politique de sécurité interne pour les membres de votre équipe. Veillez à ce que chacun connaisse les processus et les priorités de votre entreprise en matière de confidentialité et de sécurité des données.

Violations de données

En outre, vous devez mettre en place un processus qui vous impose de gérer toute violation (ou violation potentielle) des données. Ce processus doit couvrir la manière dont les autorités et les personnes concernées seront notifiées, et toutes les notifications doivent être faites par écrit.

4. Responsabilité et gouvernance

Il existe quelques autres éléments à prendre en compte dans le cadre de votre liste de contrôle d'audit SaaS :

Responsable de la conformité

Toutes les entreprises SaaS devraient nommer un responsable interne de la conformité. Cette personne aura le pouvoir et la responsabilité d'évaluer les processus et de mettre en place des politiques pour protéger les données des clients. Elle sera également chargée de se tenir au courant de l'évolution des lois et des réglementations.

Accords de traitement des données

Ensuite, identifiez tous les tiers qui traitent les données personnelles de vos clients. Il peut s'agir de services de messagerie, de serveurs cloud ou de logiciels d'analyse. Signez un accord de traitement des données avec chacun d'eux. La plupart de ces services devraient déjà avoir un document standard en place. N'utilisez que des services tiers qui répondent à des normes industrielles et régionales strictes.

Délégués à la protection des données

Assurez-vous qu'un délégué à la protection des données est nommé. Le GDPR stipule qu'un délégué est impliqué dans toutes les questions liées à la protection des données personnelles. Cette personne aura une gamme étendue de responsabilités différentes. Elle sera à l'abri de toute interférence de l'organisation et rendra compte au plus haut niveau de la direction. Cette personne doit avoir l'expertise juridique et technique nécessaire pour comprendre et mettre en œuvre les évaluations et les politiques de confidentialité.

5. Droit à la vie privée

La prise en compte des droits de vos clients en matière de protection de la vie privée est une autre étape essentielle de la liste de contrôle de votre audit SaaS.

Procédures visant à protéger la vie privée des utilisateurs

Assurez-vous que vos procédures sont axées sur le client. Veillez toujours à ce que vos clients se sentent à l'aise avec le fait que vous stockez leurs informations en toute sécurité, et apaisez toute inquiétude en faisant preuve de transparence quant à leur utilisation.

Accès des clients aux informations concernant leurs données personnelles

Vos clients doivent être en mesure de savoir quelles informations personnelles vous ou les tiers avec lesquels vous travaillez détenez sur eux. Ils doivent pouvoir modifier les données incorrectes et demander la suppression de leurs données.

Les clients doivent également savoir combien de temps vous prévoyez de conserver leurs informations et pourquoi vous les conservez pendant cette période. Ces informations doivent être librement accessibles, du moins la première fois qu'elles sont demandées. En outre, elles doivent être disponibles dans un délai d'un mois après la demande du client.

Conseils de conformité pour le SaaS

Assurer la collaboration entre les équipes de conformité et les équipes informatiques

Votre service ou votre responsable de la conformité devra travailler en étroite collaboration avec votre équipe informatique. Il est également judicieux d'organiser une formation pour le personnel par l'intermédiaire de votre service des ressources humaines. Si vous vous y prenez correctement, la formation devrait vous aider à rester en conformité.

Établir un code de conduite

Établissez un code de conduite pour votre programme de conformité spécifique afin de définir clairement son objectif. Ce code permettra de s'assurer que le comportement de votre équipe est conforme au programme et aux politiques de confidentialité qui y sont associées.

Suivre les critères de référence du CIS

Assurez-vous que votre infrastructure de données respecte les critères du Center for Internet Security (CIS). Il s'agit d'un ensemble de directives visant à vous protéger contre d'éventuelles cybermenaces.

Suivre les changements de réglementation

Tenez-vous au courant des modifications apportées aux réglementations et des nouvelles lois promulguées dans la juridiction de votre entreprise. La confidentialité des données est aujourd'hui plus importante que jamais, et les gouvernements renforcent les contrôles sur le traitement des données. Ne soyez pas pris au dépourvu.