La société Labosoft est un éditeur logiciel Allemand. Ses clients sont essentiellement des laboratoires d’analyse médicales qui utilisent son logiciel pour traiter des données de santé. Labosoft a décidé de migrer son offre logicielle vers un service Cloud en mode SaaS. Pour cela, la société a opté pour un hébergement de sa solution chez AWS à Francfort. Pour Labosoft, quels sont les changements juridiques engendrés par cette nouvelle stratégie commerciale ?

[A] Labosoft doit respecter les exigences du RGPD en tant que responsable du traitement

[B] Labosoft doit respecter les exigences du RGPD en tant que responsable du traitement et s’assurer qu’AWS est certifié HDS

[C] Labosoft doit respecter les exigences du RGPD en tant que sous-traitant

[D] Labosoft doit respecter les exigences du RGPD en tant que sous-traitant et s’assurer qu’AWS est certifié HDS


reponse linkedinCBK2 Q04 LINK


Labosoft en tant qu’éditeur logiciel est déjà responsable de traitement car comme toute entreprise Labosoft traite des données à caractère personnel comme par exemple les données de ses employés pour pouvoir établir leur bulletin de paie. Labosoft doit donc bien évidemment respecter les exigences du RGPD en tant que responsable du traitement. Mais la question porte sur l’évolution du métier de Labosoft qui passe d’éditeur logiciel à fournisseur SaaS et des changements juridiques que cela engendre.

Les laboratoires d’analyse médicales sont responsables du traitement des données de leurs clients. Mais en confiant maintenant leur données à la société Labosoft, cette dernière devient sous-traitant.

Voici comment sont définis les termes de « responsable du traitement » et de « sous-traitant » à l’article 4 du règlement :
4, §7 – Responsable du traitement (Controller) : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.
4, §8 – Sous-traitant (Processor) : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

En traitant des données personnelles pour le compte des laboratoires d’analyse, Labosoft est clairement devenu un sous-traitant au sens du RGPD. On peut donc éliminer les propositions [A] et [B].

Comme les données en question sont des données de santé, Labosoft ne peut pas héberger sa solution chez n’importe quel fournisseur IaaS / PaaS. L’hébergeur doit en effet être certifié HDS (Hébergeur de Données de Santé).

La bonne réponse est la proposition [D] Labosoft doit respecter les exigences du RGPD en tant que sous-traitant et doit s’assurer qu’AWS est certifié HDS

La certification HDS n’est pas officiellement au programme du CISSP, mais si vous souhaitez en savoir plus sur le sujet, vous pouvez consulter le site de l’ANS (Agence du Numérique en Santé) : https://esante.gouv.fr/labels-certifications/hds/certification-des-hebergeurs-de-donnees-de-sante


Question et réponse rédigées par VERISAFE selon le programme officiel du CISSP (mai 2021)
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE