WATERP centralise des données clients (coordonnées, historiques de consommation, relevés techniques) pour le compte de professionnels du secteur de l’eau. La question n’est pas de savoir si ces données sont sensibles, mais de mesurer à quel niveau chaque point de contrôle protège réellement l’entreprise utilisatrice face au RGPD et aux textes européens récents comme le Data Governance Act.
Cartographie des données personnelles traitées par WATERP
Avant d’auditer un outil, il faut savoir ce qu’il stocke. WATERP manipule plusieurs catégories de données à caractère personnel dont le niveau de risque juridique varie.
A lire également : Ce qu’il faut savoir sur la clause de non-concurrence dans un contrat de prestation de services ou freelance
| Catégorie de données | Exemples concrets | Base légale habituelle (RGPD) | Niveau de risque |
|---|---|---|---|
| Identification client | Nom, prénom, adresse postale, email, téléphone | Exécution du contrat (art. 6.1.b) | Modéré |
| Données de consommation | Relevés de compteurs, volumes, historiques de facturation | Intérêt légitime ou contrat (art. 6.1.b / 6.1.f) | Modéré à élevé |
| Données techniques | Localisation du point de livraison, diamètre de branchement | Intérêt légitime (art. 6.1.f) | Faible |
| Données de navigation web | Cookies, journaux de connexion à l’espace utilisateur | Consentement (art. 6.1.a) | Élevé |
| Données de paiement | IBAN, références de prélèvement | Exécution du contrat (art. 6.1.b) | Élevé |
La colonne « niveau de risque » reflète la probabilité qu’une fuite de ces informations entraîne un préjudice direct pour la personne concernée. Les données de paiement et les cookies de navigation web concentrent l’attention des autorités de contrôle comme la CNIL.
A découvrir également : Pappers et données légales : ce que vous pouvez vraiment vérifier gratuitement
Flux de données vers des services tiers : le point aveugle à vérifier dans WATERP
Plusieurs autorités européennes (CNIL, Garante italienne, DSB autrichienne) ont, entre 2022 et 2024, sanctionné l’usage non maîtrisé d’outils de tracking et d’analytics. L’absence de maîtrise fine des flux vers les États-Unis peut rendre illicites des traitements entiers, même quand l’entreprise se pense conforme au RGPD.
Pour WATERP, trois vérifications s’imposent :
- Identifier si la plateforme intègre des scripts tiers (Google Analytics, pixels publicitaires) qui transmettent des données personnelles d’utilisateurs hors de l’Union européenne, et vérifier l’existence de clauses contractuelles types ou d’un mécanisme de transfert valide.
- Contrôler la liste exacte des sous-traitants auxquels WATERP délègue le traitement ou l’hébergement de données clients, en demandant le registre prévu à l’article 30 du RGPD.
- Vérifier si le Data Governance Act (applicable depuis septembre 2023) classe WATERP comme « intermédiaire de données », ce qui imposerait des obligations renforcées de séparation des activités, de sécurité et de transparence vis-à-vis des clients finaux.
Le règlement (UE) 2022/868 concerne directement les plateformes B2B qui stockent ou orchestrent des données clients pour le compte d’entreprises. Un prestataire SaaS qui ne sépare pas clairement ses activités de traitement s’expose à des sanctions distinctes de celles du RGPD.
Gestion des accès et segmentation réseau : le déficit des PME
Le Comité européen de la protection des données (EDPB) a publié le 17 juin 2024 un rapport soulignant que les PME restent surreprésentées parmi les responsables de fuites de données clients. Le sous-investissement dans la segmentation réseau et la gestion des accès privilégiés figurent parmi les causes principales.
Ce constat s’applique directement à l’utilisation de WATERP. Une PME du secteur de l’eau qui déploie la plateforme sans restreindre les droits d’accès par rôle (technicien, service facturation, direction) multiplie la surface d’exposition.
Points de contrôle sur les droits d’accès dans WATERP
Le paramétrage par défaut d’un logiciel ne correspond presque jamais aux besoins réels de l’organisation. Trois réglages méritent un audit dès la mise en service :
Le premier concerne la granularité des profils utilisateurs. Chaque personnel accédant à WATERP doit disposer d’un compte nominatif avec des permissions limitées à son périmètre métier. Un technicien de terrain n’a pas besoin de consulter les IBAN des abonnés.
Un compte générique partagé entre plusieurs agents constitue une non-conformité au RGPD, car il empêche toute traçabilité en cas d’incident. Le journal d’audit devient inexploitable.
Le second point porte sur la durée des sessions et l’authentification. Une session qui reste ouverte pendant des heures sur un poste partagé expose les données personnelles à un accès non autorisé. La mise en place d’une déconnexion automatique et, si possible, d’une authentification à deux facteurs réduit ce risque.
Durée de conservation et droit à l’effacement : ce que le cadre juridique impose
Le RGPD exige que les données personnelles ne soient pas conservées au-delà de la durée nécessaire à la finalité du traitement. Pour un service de gestion de l’eau, cela pose une question concrète : combien de temps WATERP conserve-t-il les données d’un abonné ayant résilié son contrat ?
L’absence de politique de purge automatique dans un logiciel métier constitue un manquement fréquemment relevé par la CNIL. Il ne suffit pas de désactiver un compte client : les données associées doivent être supprimées ou anonymisées dans un délai défini et documenté.
Exercice des droits des utilisateurs via WATERP
Le RGPD accorde aux personnes concernées plusieurs droits : accès, rectification, effacement, portabilité, opposition. Le responsable de traitement qui utilise WATERP doit pouvoir répondre à une demande d’exercice de droits dans un délai d’un mois.
Deux questions à poser au prestataire :
- WATERP propose-t-il une fonctionnalité d’export des données d’un utilisateur dans un format structuré et lisible par machine, conformément au droit à la portabilité (art. 20 du RGPD) ?
- La suppression d’un profil client entraîne-t-elle l’effacement effectif des données dans les sauvegardes et chez les sous-traitants, ou seulement un marquage logique dans la base principale ?
Un effacement limité à la base principale sans propagation aux copies de sauvegarde ne satisfait pas le droit à l’effacement.
Conformité RGPD de WATERP : grille d’audit rapide
| Point de contrôle | Conforme | À vérifier | Non conforme |
|---|---|---|---|
| Registre des traitements (art. 30) accessible | Document fourni et à jour | Document existant mais incomplet | Aucun registre disponible |
| Sous-traitants identifiés et encadrés | Contrat de sous-traitance (art. 28) signé avec chacun | Liste partielle, contrats en cours | Sous-traitants non listés |
| Transferts hors UE | Clauses contractuelles types en place | Transferts identifiés, garanties en négociation | Transferts non documentés |
| Gestion des droits d’accès | Comptes nominatifs, profils différenciés | Comptes nominatifs mais profil unique | Comptes génériques partagés |
| Politique de conservation | Durées définies et purge automatique | Durées définies, purge manuelle | Aucune durée définie |
Cette grille ne remplace pas un audit complet, mais elle permet d’identifier en quelques minutes les lacunes les plus critiques dans la configuration de WATERP. Les points « non conforme » exposent le responsable de traitement à des sanctions de la CNIL pouvant atteindre plusieurs pourcents du chiffre d’affaires annuel.
Le cadre réglementaire européen se densifie chaque année. Avec le Data Governance Act applicable depuis septembre 2023 et le rapport EDPB de juin 2024 sur les PME, les entreprises utilisant WATERP ont intérêt à documenter chaque flux de données et chaque sous-traitant avant qu’un contrôle ne le fasse à leur place.
