Le RGPD ou Règlement Général sur la Protection des Données est une directive européenne qui oblige toutes les entreprises et les administrations, à respecter certaines règles concernant le traitement des données à caractère personnel. Le RGPD rentrera en vigueur le 25 mai 2018.
Quelles en sont les objectifs, les implication et comment DropCloud et ses produits s’y conforment et vous accompagnent dans votre conformité ?
1. Qu’est-ce que le RGPD ?
2. Le RGPD une nouvelle éthique du traitement des données personnelles
3. Qui est concerné par le RGPD ?
4. Qu’est-ce qu’un traitement des données selon le RGPD
5. Les données personnelles et leur accès définis par le RGPD
6. Les objectifs et obligation du RGPD
7. La politique RGPD de DropCloud
8. DropCloud et ses solutions vous accompagnent dans votre conformité RGPD
1. Qu’est-ce que le RGPD ?
Le RGPD ou Règlement Général sur la Protection des Données est une directive européenne qui oblige toutes les entreprises et les administrations, à respecter certaines règles concernant le traitement des données à caractère personnel. Le RGPD rentrera en vigueur le 25 mai 2018.
Cette réforme renforce le droit et l’information des personnes en matière de collecte, de stockage et d’utilisation des données. Cette réglementation a pour finalité de protéger les données personnelles de tous les citoyens européens.
Pour faire simple, les utilisateurs et consommateurs doivent être mieux averti de ce que les entreprises font de leurs données.
Pour chaque utilisation de service Internet, les utilisateurs doivent être avertis sur l’usage et le traitement de leurs données personnelles. Cela concerne bien entendu l’identité, les coordonnées et des informations techniques liées à la connexion. Les sites et services doivent également expliquer à leurs visiteurs et utilisateurs si l’enregistrement des informations servira à des fins d’analyses statistiques ou du démarchage commercial.
Par ailleurs, les utilisateurs peuvent exercer un droit à l’oubli en réclamant l’effacement de leurs données. Les responsables de sociétés doivent pouvoir apporter la preuve du consentement des utilisateurs et mettre en place des systèmes de sécurisation de leurs données.
Pour ce faire, les sociétés doivent améliorer leurs systèmes de sécurité et les garanties de confidentialité des données. Dans le cadre du RGPD, l’objectif du DPO (Data Protection Officer : Responsable de la protection des données) et du DSI est d’empêcher le vol ou la fuite de données. D’ailleurs, le RGPD les contraint à communiquer avec les utilisateurs et la CNIL sur d’éventuels piratages de données clients.
Cette réglementation européenne touche aussi bien les entreprises que les administrations et collectivités.
2. Le RGPD, renforcer l’éthique du traitement des données personnelles
Ce qui était traditionnellement considéré comme les meilleures pratiques en matière de gouvernance des données est maintenant expressément requis par le RGPD.
- Récolter les données intelligemment
- Limiter la durée de conservation des données
- Respecter l’exercice du droit d’opposition, de rectification, d’accès direct, de portabilité et d’effacement des données.
Tout manquement à ces obligations pourrait engendrer de sa part une plainte auprès de la CNIL, ce qui aurait pour conséquence un contrôle des traitements de données à caractère personnel détenues par l’entreprise.
3. Qui est concerné par le RGPD ?
Toute entreprise ou entité établie dans l’UE qui traite des données personnelles doit se conformer au RGPD. Les entreprises disposant d’une succursale, d’une filiale, un représentant ou un agent dans l’UE pourrait être considérée comme étant établie sur ce territoire aux yeux de la loi. Cela s’applique également aux entreprises non établies au sein de l’Union Européenne qui proposent des biens et services aux particuliers vivants sur le territoire de l’UE, qu’un paiement soit exigé ou non.
La loi définit deux rôles distincts : les « responsables de traitements » et les « sous-traitants ». Le terme « Responsable de traitements » désigne l’entité qui détermine comment les données personnelles doivent être traitées, soit en son nom soit en ayant recours à des sous-traitants. Le terme « Sous-traitant » désigne la personne physique ou morale qui traite les données pour le compte d’une autre entité.
4. Qu’est-ce qu’un traitement des données selon le RGPD
Selon le RGPD le traitement des données regroupe « Toute opération, ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données où des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction. »
5. Les données personnelles et leur accès définis par le RGPD
Les données à caractère personnel sont définies comme « toute information concernant une personne physique identifiée ou identifiable » : Les noms, les adresses, les coordonnées, les fichiers de Ressources Humaines, les identifiants tels que adresses IP, cookies, données de géolocalisation. Selon le règlement général sur la protection des données : « … est une donnée à caractère personnel toute donnée permettant d’identifier directement ou indirectement un citoyen européen. ».
L’accès direct est par exemple l’accès à la fiche d’un utilisateur sur un CRM ou un document papier. Par exemple une fiche client, une fiche de paye, un dossier médical, une facture, un devis…
L’accès indirect permet d’identifier un utilisateur en la croisant avec d’autres sources de données. Par exemple : un numéro de téléphone permet de retrouver le nom et l’adresse d’un citoyen, par le biais d’un annuaire téléphonique. Une plaque d’immatriculation permet de trouver le nom et l’adresse d’un citoyen, par le biais du fichier des cartes grises. Le numéro de sécurité sociale permet de retrouver les coordonnées et le dossier médical du citoyen par le biais du fichier de la sécurité sociale.
6. Les objectifs et obligation du RGPD
Le RGPD définit les droits des individus dont les données personnelles sont collectées ainsi que les obligations des responsables de traitement et des sous-traitants afin de garantir un niveau de protection des données personnelles approprié. La loi garantit plus de droits que la législation existante aux individus dont les données sont collectées ou traitées.
La réforme de la protection des données poursuit trois objectifs :
- Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants).
- Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures.
- Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.
Les principales obligations imposées par le règlement général sur la protection des données afin d’être en conformité :
- Protégez les données dès leur conception, ce qu’on appelle le « data protection by design ».
- Protéger les données par défaut, c’est-à-dire avoir un état d’esprit de protection des données, dans tous les cas une déontologie et former les employés et les collaborateurs sur la protection des données à caractère personnel.
- Tenir un registre interne des traitements, qui regroupe tous les traitements effectués en cours d’exécution, ou programmés dans l’avenir. Ce registre sera à présenter à la CNIL en cas de contrôle.
- Effectuer une analyse d’impact sur la vie privée pour certains traitements sensibles. En cas de traitement de données à caractère de personnel dites sensibles, il est obligatoire d’effectuer une analyse d’impact sur la vie privée, avant d’effectuer le traitement. L’analyse d’impact doit être jointe au registre obligatoire afin de pouvoir être présenté au contrôleur de la CNIL.
- Consulter la CNIL avant d’effectuer tout traitement concernant des données sensibles
- Vérifier la conformité des sous-traitants.
Face à cet ensemble d’obligations, il est tout particulièrement conseillé de désigner un DPO (Data Protection Officers : Responsable de la protection des données).
7. La politique RGPD de DropCloud
Dans cadre de son activité et en complément de sa Politique de Sécurité Informatique, DropCloud a mis en œuvre des processus dédiés strictes pour répondre aux objectifs de protection des données personnels définis par le RGPD :
- Une analyse complète des risques inhérents à l’organisation des données au sens « données personnelles ».
- Une cartographie exhaustive des données et des flux recensés dans l’entreprise.
- La constitution d’un Registre des traitements réalisés au format recommandé par la CNIL.
- La mise en œuvre d’une procédure d’alerte destinée aux utilisateurs internes et externes en cas de compromission ou de piratage avéré des données personnelles.
7.1 DropCloud en tant que Sous-Traitant
DropCloud est qualifié de « sous-traitant » lorsqu’il traite des données à caractère personnel pour le compte d’un responsable de traitement.
C’est typiquement le cas lorsque sont utilisés les services DropCloud et stockées des données à caractère personnel via un service DropCloud. Dans la limite de ses contraintes techniques, DropCloud ne pourra traiter les données stockées que selon instructions de ses clients, et ce pour leur compte.
En qualité de sous-traitant, DropCloud s’engage notamment à mettre en œuvre les actions suivantes :
- Obtenir ou de faire obtenir systématiquement par ses sous-traitants le consentement légal de l’utilisateur pour l’utilisation des cookies et autres stockages, la collecte, le partage et l’utilisation de données personnelles.
- Conserver systématique des enregistrements de consentements données par les utilisateurs.
- La communication claire d’instructions concernant la révocation et le consentement.
- Traiter les données à caractère personnel aux seules fins de la bonne exécution des services : DropCloud ne traitera jamais vos informations à d’autres fins (marketing, etc.).
- Ne pas transférer les données clients et utilisateurs hors de France.
- Informer ses clients et utilisateurs de tout recours à des sous-traitants qui pourraient traiter leurs données à caractère personnel. A ce jour, la sous-traitance du stockage des données et ses modalités sont retranscrites au travers des Conditions Générales de Vente des solutions DropCloud (NeoBe, WeSend, WeDrop).
- Notifier ses clients et utilisateurs dans les meilleurs délais en cas de violation de données.
Assister ses clients et utilisateurs à respecter leurs obligations réglementaires en leur fournissant une documentation adéquate des services DropCloud.
7.2 DropCloud en tant que responsable de traitement
DropCloud est qualifié de « responsable de traitement » lorsqu’il détermine les finalités et les moyens de « ses » traitements de données à caractère personnel.
C’est typiquement le cas quand DropCloud collecte des données à des fins de facturation, de gestion des recouvrements, de l’amélioration de la qualité des services et de la performance, de démarchage commercial, de gestion commerciale, etc. Mais aussi lorsqu’DropCloud traite les données à caractère personnel de ses propres salariés.
Dans cette hypothèse, les données clients et utilisateurs, celles que vous stockez sur les services d’DropCloud, ne sont pas concernées. En revanche, certaines informations vous concernant ou étant relatives à vos salariés (identité et coordonnées de l’interlocuteur DropCloud dans le cadre d’une demande d’assistance technique, par exemple) peuvent l’être. C’est pourquoi DropCloud tient à vous donner des éléments de compréhension sur les garanties mises en œuvre afin d’assurer la protection de ces données à caractère personnel.
- Limiter la collecte de données à celles strictement utiles : c’est dans le cadre de cette démarche que lors de la commande d’un service, vous ne renseignez que des données nécessaires pour qu’DropCloud puisse assurer des services de facturation, de support ou encore respecter ses propres obligations légales en matière de conservation de données.
- Ne pas utiliser les données collectées à d’autres fins que celles pour lesquelles elles furent collectées.
- Conserver les données à caractère personnel durant une période limitée et proportionnée. C’est ainsi qu’à titre d’exemple, les données traitées à des fins de gestion de la relation entre le client et DropCloud (nom, prénom, adresse postale, e-mail, etc.) sont conservées par l’entreprise pendant toute la durée du contrat et les trente-six (36) mois suivants. Au terme de ce délai, elles sont supprimées sur tous supports et sauvegardes.
- Ne pas transférer ces données à des tiers autres que les sociétés apparentées à DropCloud qui interviennent dans le cadre de l’exécution du contrat.
Mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un haut niveau de sécurité.
8. DropCloud et ses solutions vous accompagnent dans votre conformité RGPD
Le RGPD conduit les entreprises à améliorer leurs pratiques et la sécurité des leurs systèmes d’information. Cela implique notamment une protection des données « dès la conception » d’une part et « par défaut » d’autre part.
DropCloud propose des solutions de gestion et de sécurisation qui permettent d’assurer la sécurité des données personnelles, garantissant leur mise à jour et limitent l’accès des utilisateurs non autorisés.