Présentation des nouvelles lois sur la confidentialité des données "RGPD" 
et des meilleures pratiques avec CloudControl

Depuis le 25 mai  e  2018, la  Règlement générale sur la  protection des  données (RGPD)  est entrée  en vigueur, l'  ouverture d'  une nouvelle ère de la  protection des données et la  vie privée pour tout le  monde.  Bien que vous ayez certainement entendu et lu beaucoup d'informations sur le RGPD, il peut être difficile de comprendre exactement  ce que cela signifie pour votre entreprise  , en termes pratiques, et  ce que vous devez faire  pour vous conformer aux nouvelles règles.

Chez CloudControl, nous nous engageons à suivre les meilleures pratiques en termes de sécurité et de confidentialité.  Nous nous efforçons de fournir le même niveau de protection à tous les utilisateurs et clients, sans distinction de lieu ou de nationalité.  Et nous appliquons ces meilleures pratiques pour toutes les données, pas seulement les données personnelles.

CloudControl et ses filiales sont donc conformes au RGPD.

1 •  Ce que vous devez savoir sur le RGPD

Astuce
Si vous le pouvez, la meilleure façon de comprendre le RGPD est de lire le texte officiel. ou de vous rendre sur le site de la  CNIL

C'est un peu long, mais assez lisible pour les non experts.

Il s'agit d'un règlement de l' Uqui vise à harmoniser et à moderniser la législation existante sur la confidentialité, telle que la directive européenne sur la confidentialité des données qu'elle remplace. Il établit des règles pour la protection des personnes physiques à l'égard du traitement de leurs données personnelles et la libre circulation des données personnelles en Europe.

Il s'agit d'un  règlement, et non d'une directive, donc applicable immédiatement dans tous les États membres de l'UE, sans nécessiter de transposition dans le droit interne de chaque pays.  Les pays de l'UE ont une marge d'interprétation limitée pour les points les plus fins, mais  les règles fondamentales seront les mêmes pour tout le monde, partout dans l'UE.

Le RGPD  porte  également  la législation au prochain millénaire  , en tenant compte des médias sociaux, du cloud computing, de la cybercriminalité et des défis majeurs qu'ils posent en termes de confidentialité et de sécurité des données personnelles.

Nous voulons souligner que le RGPD peut être excellent pour vous et vos clients.  Se conformer au RGPD peut représenter initialement beaucoup de travail, mais il y a des avantages aux nouvelles règles:

  • Confiance accrue de vos clients et utilisateurs
  • Simplification: les mêmes règles sont appliquées dans tous les pays de l'UE
  • Rationalisation et centralisation de vos processus organisationnels

Le but du RGPD est de donner aux individus plus de contrôle sur leurs données personnelles.  Si votre entreprise met en place les bonnes stratégies et les bons systèmes, elle sera plus facile à gérer, plus sûre et plus sûre pour les années à venir.

Quels sont les risques si vous n'êtes pas conforme?

La sanction maximale pour non-conformité est une amende administrative de 20 millions d'euros, soit 4% de votre chiffre d'affaires annuel global, le montant le plus élevé étant retenu.  Un plus petit maximum de 10 millions d'euros ou 2% de votre chiffre d'affaires annuel global est applicable pour les infractions moins graves.

Ces maximums sont censés être  dissuasifs  pour les entreprises de toutes tailles, mais le RGPD exige également que les amendes soient maintenues  proportionnées  .

Les autorités de contrôle (également appelées autorités de protection des données: DPA) doivent prendre en compte les circonstances de chaque cas, y compris la nature, la gravité et la durée de l'infraction.  Ces DPA ont également le pouvoir d'  enquêter  et d'  imposer des mesures correctives  , y compris la limitation des activités de contrefaçon, sans nécessairement infliger une amende.

Un autre risque si vous ne vous conformez pas est la perte de confiance de vos clients et prospects, qui se soucient de la façon dont vous traitez leurs données!

Enfin, de nombreux APD ont laissé entendre qu'ils n'imposeront pas encore d'amendes en 2018, mais ils s'attendent à ce que les entreprises  démontrent qu'elles travaillent à la conformité  .

Principes clés du RGPD

Portée

Le règlement s'applique à tout  traitement  de  données  personnelles  par  toute organisation  :

  1. Si l'organisme de contrôle ou de traitement  est situé dans l'UE
  2. Si l'organisation  n'est pas située dans l'UE  , mais que le traitement implique des données personnelles de personnes concernées situées dans l'UE et est lié à des offres commerciales ou à la surveillance du comportement.

Le champ d'application comprend donc les entreprises non européennes, ce qui n'était pas le cas avec une législation plus ancienne.

Rôles

Le règlement distingue deux principaux types d'entités:

  • Responsable du traitement:  toute entité qui  détermine les finalités et les moyens  du traitement des données personnelles, seul ou conjointement.  En règle générale, chaque organisation est responsable du traitement de ses propres données.
  • Processeur de données  : toute entité qui traite des données pour le compte d'un responsable du traitement.

Par exemple, si votre entreprise possède une base de données hébergée sur notre  cloud, vous êtes le  contrôleur  de cette base de données et CloudcOntrol n'est qu'un  processeur de données  .

Données personnelles

Le RGPD donne une définition large des données personnelles:  toute information relative à une personne physique identifiée ou identifiable.  Une personne identifiable est une personne qui peut être identifiée,  directement ou indirectement  , au moyen de ses noms, e-mails, numéros de téléphone, informations biométriques, données de localisation, données financières, etc. Les identifiants en ligne (adresses IP, identifiants d'appareil,…) figurent également portée.

Cela s'applique également  aux contextes commerciaux  :  info@cloudcontrol.fr  n'est pas considéré comme personnel, mais  john.smith@cloudcontrol.fr l' est, car il peut être utilisé pour identifier une personne physique au sein d'une entreprise.

Le RGPD exige également un niveau de protection plus élevé pour  les données sensibles  , qui comprend des catégories spécifiques de données personnelles telles que les informations de santé, génétiques, raciales ou religieuses.

Principes de traitement des données

Pour être conformes, les activités de traitement doivent respecter les règles suivantes:
(telles qu'énumérées à l'article 5 du RGPD)

  1. Légalité, équité et transparence  : pour collecter des données, vous devez avoir une  base légale  , un  objectif  clair  et vous devez en  informer  le sujet.

    • Ayez une politique de confidentialité simple et claire, et faites-y référence partout où vous collectez des données
    • Vérifiez la base juridique de chacune de vos activités de traitement de données

  2. Limitation  de la finalité: une fois collecté dans un but, demandez l'autorisation si vous souhaitez l'utiliser à une autre fin.

    Par exemple  - Vous ne pouvez pas décider de vendre vos données client si elles n'ont pas été collectées à cette fin.

  3. Minimisation  : vous ne devez collecter que les données nécessaires à votre finalité

  4. Exactitude  : des mesures raisonnables doivent être prises pour garantir la mise à jour des données, en ce qui concerne la finalité

    par exemple  - Assurez-vous de gérer les e-mails renvoyés et de corriger ou de supprimer les adresses.

  5. Limitation de stockage  : les données personnelles ne doivent être conservées que pendant la durée nécessaire à la réalisation de leur objectif principal.

    Définissez des délais pour l'effacement ou la révision des données personnelles que vous traitez, en fonction de leur finalité.

  6. Intégrité et confidentialité:  les responsables du traitement des données doivent mettre en œuvre des mesures appropriées de contrôle d'accès, de sécurité et de prévention des pertes de données, conformément aux types et à l'étendue des données traitées.

    Par exemple  - Assurez-vous que votre système de sauvegarde fonctionne, disposez de contrôles de sécurité appropriés, utilisez le cryptage pour protéger les données sensibles telles que les mots de passe, ...

  7. Responsabilité  : les contrôleurs de données sont responsables et doivent être en mesure de démontrer la conformité à tous les principes de traitement ci-dessus.

    • Établir et maintenir une référence de cartographie des données pour votre organisation, décrivant la conformité de vos activités de traitement
    • Informez vos clients via une politique de confidentialité claire

Base légale

Pour être licite en vertu du RGPD (  premier principe  ), le traitement des données à caractère personnel doit être basé sur l'  une des six bases juridiques possibles  , énumérées à l'article 6, paragraphe 1:

  1. Consentement.  Valide lorsque la personne concernée a  explicitement  et  librement  donné son  consentement après avoir été dûment  informé  , y compris  clairement  et  spécifique  but  .  La charge de la preuve pour tout cela incombe au responsable du traitement.
  2. Nécessaire pour l'exécution d'un contrat  , ou pour répondre aux demandes de la personne concernée, en préparation d'un contrat.
  3. Respect d'une obligation légale  imposée au responsable du traitement.
  4. Protéger un intérêt vital  .  Lorsque le traitement est nécessaire pour sauver une vie.
  5. Intérêt public ou autorité officielle  .
  6. Intérêt légitime.  Applicable lorsque le responsable du traitement a un intérêt légitime qui n'est pas outrepassé par les intérêts et les droits fondamentaux de la personne concernée.

Un changement majeur apporté par le RGPD par rapport à la précédente réglementation sur la confidentialité des données concerne les exigences plus strictes pour l'obtention d'un  consentement  valide  .

Droits des personnes concernées

Les droits existants en matière de confidentialité des données pour les particuliers sont encore étendus par le RGPD.  Les organisations doivent être prêtes à traiter les demandes des personnes concernées en temps opportun (dans un délai d'un mois), gratuitement:

  1. Droit d'accès  - Les individus ont le droit de savoir  quoi  et  comment  leurs données personnelles sont traitées, en toute transparence;
  2. Droit de rectification  - Les individus ont le droit d'obtenir la  correction  ou l'  achèvement  de leurs données personnelles;
  3. Droit à l'effacement  - Les individus ont le droit d'obtenir la  suppression  de leurs données personnelles pour des raisons légitimes (consentement retiré, plus nécessaire à la fin, etc.);
  4. Droit à restriction  - Les individus peuvent demander au responsable du  traitement de cesser de traiter  leurs données personnelles s'ils ne souhaitent pas ou ne peuvent pas demander la suppression complète;
  5. Droit d'opposition  - Les individus ont le droit de  s'opposer  à certains traitements de leurs données personnelles à tout moment, par exemple à des fins de marketing direct;
  6. Portabilité des données  - Les individus ont le droit de demander que les données personnelles détenues par un responsable du traitement leur soient  fournies  , ou à un autre responsable du traitement.

2 •  Comment vous préparer au RGPD

Avis de
non-  responsabilité  Nous ne pouvons pas fournir de conseils juridiques, cette section n'est fournie qu'à titre informatif.  Veuillez contacter votre conseiller juridique afin de déterminer exactement comment le RGPD affecte votre entreprise.

Voici les étapes clés que nous suggérons pour une feuille de route de conformité au RGPD:

  1. Établissez une  cartographie  des données des activités de traitement des données de votre organisation pour  obtenir une image claire de la situation  .  Les autorités de protection des données fournissent souvent des modèles de feuilles de calcul pour vous aider dans cette tâche.  Pour chaque processus, documentez le type de données personnelles et comment elles ont été collectées;  l'  objet  ,  la base juridique  et la  politique d'effacement  du traitement;  les  mesures de sécurité  techniques et organisationnelles  mises en  place et les  sous  -  traitants  (transformateurs) impliqués.

    Vous devrez maintenir ce mappage de données régulièrement, à mesure que vos processus évoluent.
  2. Sur la base de l'étape 1, choisissez une  stratégie de correction  pour tout traitement pour lequel vous n'avez pas de base légale (par exemple, un consentement manquant) ou lorsque vous n'avez pas de mesures de sécurité appropriées en place.  Adaptez vos processus, vos procédures internes, vos règles de contrôle d'accès, vos sauvegardes, votre monitoring, etc.
  3. Mettez à jour et publiez une  politique de confidentialité  claire  sur votre site Web.  Expliquez quelles données personnelles vous traitez, comment vous le faites et quels sont les droits des individus à l'égard de leurs données.
  4. Passez en revue vos  contrats  avec un conseiller juridique et adaptez-les au RGPD.
  5. Décidez comment vous allez répondre aux différents types de  demandes de personnes concernées  .
  6. Préparez votre  procédure de réponse aux incidents  en cas de violation de données.

Selon votre situation, d'autres éléments pourraient être ajoutés à la liste, comme la nomination d'un délégué à la protection des données.  Consultez vos experts en traitement interne et vos conseillers juridiques pour déterminer toute autre mesure pertinente.

Rappelles toi!
L'établissement d'une cartographie claire de vos processus facilitera tout sur la voie de la conformité!

3 •  Comment CloudControl est-il conforme au RGPD

Chez CloudControl, la mise en œuvre des meilleures pratiques de confidentialité et de sécurité n'est pas une idée nouvelle.  En tant que société d'hébergement "cloud", nous révisons et améliorons constamment nos systèmes, outils et processus, afin de maintenir une plateforme excellente et sécurisée.

Nos rôles GDPR

Nos responsabilités en matière de protection des données personnelles dépendent de nos différentes activités de traitement des données:

Nos rôles Traitement de l'information Type de données
Données  Contrôleur  et Processeur Sur cloudcontrol.fr Données personnelles qui nous sont fournies par nos clients directs et prospects, nos partenaires et tous  les utilisateurs directs de cloudcontrol.fr
 (noms, e-mails, adresses, mots de passe ...)
Processeur de  données Sur Notre Cloud
(hébergement dans nos Data Center des services aux entreprises clientes)  		Toutes les données personnelles stockées dans les bases de données de nos clients, hébergées dans le nuage CloudControl ou transférées à nous dans le but d'utiliser l'un de nos services.  Le propriétaire de la base de données est le  contrôleur des données  .
Aucun  rôle Sur site Toutes les données situées dans les bases de données CloudControl hébergées sur site ou dans tout hébergement non exploité par nous.

Nos documents RGPD

En tant que  contrôleur de données  , nos activités sont couvertes par notre  politique de confidentialité  , qui a été mise à jour pour le RGPD.  Cette politique explique aussi clairement que possible  quelles  données nous traitons,  pourquoi  nous les traitons et  comment  nous le faisons.  Étroitement liée à cela, notre politique de sécurité qui explique les meilleures pratiques de sécurité que nous avons mises en œuvre chez CloudControl, à tous les niveaux (technique et organisationnel) afin de garantir que vos données sont traitées de manière sûre et sécurisée.

En plus de ces politiques, nos activités en tant que  processeur de données  sont soumises à l'acceptation de nos conditions générale de vente. Cet accord a été mis à jour afin d'ajouter les clauses de protection des données nécessaires (souvent appelées "accord de traitement des données"), comme requis par le RGPD.
En tant que Client de CloudControl, vous n'avez rien à faire pour accepter ces modifications,  vous bénéficiez déjà des nouvelles garanties.

En plus de ces documents, nous mettons également à jour notre site Web pour insérer des avis de confidentialité dans tous les endroits pertinents, afin de tenir nos utilisateurs informés à tout moment.

4 •  Comment CloudControl vous aide-t-il à mettre en œuvre les meilleures pratiques GDPR

Utiliser CloudControl pour gérer votre entreprise  ne peut être suffisant pour la conformité au RGPD  ,  car la réglementation s'applique à l'ensemble de votre organisation.  Cependant, comme CloudControl centralise vos données, réduit la redondance des données et met en œuvre des droits d'accès granulaires et des contrôles de sécurité, il peut être très utile de se conformer au RGPD.

Voici quelques façons dont nous pensons que CloudControl peut vous aider dans le contexte du RGPD.

Avis de non-responsabilité:  comme toujours, consultez votre conseiller juridique afin de déterminer comment vous devez vous conformer au RGPD et aux demandes des personnes concernées.  À tout moment, gardez à l'esprit que vous pouvez également traiter des données personnelles en dehors de CloudControl.

Droit d'accès (art. 15) et droit à la portabilité des données (art. 20)

  • CloudControlfournit certains outils aux personnes concernées pour accéder et mettre à jour leurs informations personnelles en mode libre-service:
    • Le portail client  permet de parcourir les documents contractuels: adresse et contacts, factures, devis, commandes, tâches, tickets helpdesk, achats, abonnements, bons de livraison, paiements ainsi que les communications autour de ces documents.
    • La page des listes de diffusion  , permet aux utilisateurs de revoir et de gérer leurs abonnements 
    • Le profil du forum  permet aux utilisateurs de votre forum de revoir toutes leurs activités en un coup d'œil
  • Si vous devez exporter toutes les données ou communiquer des données privées qui ne sont pas accessibles via le portail, certaines étapes manuelles sont nécessaires.
    Habituellement, vous pouvez accéder à tous les documents pertinents directement à partir de la barre supérieure du formulaire de contact des utilisateurs, où ils sont liés.  Vous pouvez ensuite exporter toutes les informations avec la fonction «Imprimer en PDF» de votre navigateur, ou avec le  menu  Action> Exporter  , depuis la liste des contacts ou la liste de leurs documents.
    Les deux options offrent des formats électroniques conformes au RGPD.
  • En plus de cela, vous pourriez avoir des informations non liées au formulaire de contact, que la personne concernée pourrait avoir entrées dans un contexte séparé.  Vous devriez également les consulter, en recherchant par nom ou adresse e-mail, par exemple
    • Abonnements aux événements
    • Prospects et opportunités dans votre CRM

Rappel:  En plus de pouvoir exporter au format PDF via votre navigateur, CloudControl dispose d'un outil pour exporter tout enregistrement, ou liste d'enregistrements, dans un fichier CSV ou Excel, ainsi que les documents associés liés à cet enregistrement.  Pour l'utiliser, accédez à la vue liste de n'importe quel écran, sélectionnez le ou les enregistrements et cliquez sur Action> Exporter, puis choisissez «Exporter toutes les données».  L'outil vous permet ensuite de choisir les champs que vous souhaitez exporter.

Droit à l'oubli (art. 17)

Le RGPD accorde aux personnes concernées le droit de demander l'effacement de leurs données personnelles, dans des conditions spécifiques, telles que:

  • Les données ne sont plus nécessaires selon le  but  ;
  • Ils retirent leur consentement pour un traitement basé  uniquement  sur le  consentement;
  • Le traitement est par ailleurs  illégal  .

Si vous déterminez que la demande est légitime et que vous avez confirmé l'identité du sujet, vous pouvez essayer de supprimer le  contact  correspondant  dans CloudControl.  C'est sûr: le système bloquera l'opération si un document commercial fait toujours référence au contact (facture, contact, bon de livraison, message sur le forum, etc.).  Dans ce cas, vous devez décider si vous avez d'autres obligations de conserver ces documents et vous devez refuser la demande d'effacement.

Si vous n'avez aucune raison légale de conserver les informations personnelles, mais ne pouvez pas, ou ne souhaitez pas supprimer un document ou un contact, envisagez de l'anonymiser à la place.  Vous pouvez renommer le contact et modifier ses données reconnaissables (e-mail, adresse, etc.), ou vous pouvez réaffecter des documents à un  contact  anonyme  générique  Une fois correctement anonymisées, ces données ne seront plus  des données personnelles  .

Restriction du traitement (art. 18) et retrait du consentement (art. 7)

Les utilisateurs demandent souvent à se désabonner des e-mails commerciaux.  Si vos mailings ont été envoyés via CloudMarketing, les utilisateurs peuvent le faire eux-mêmes en utilisant le lien de désabonnement du pied de page.  Mais vous pouvez également cocher manuellement le champ "opt-out" sur un contact ou un prospect / une opportunité.  Les enregistrements marqués «opt-out» sont automatiquement exclus des campagnes de publipostage, mais peuvent toujours recevoir des messages directs des utilisateurs (par exemple, devis, factures).

Droit de rectification (article 16) et exactitude des données (article 5, paragraphe 1, point d)

Les adresses e-mail non valides / changeantes sont une source courante d'erreur de données.  Lorsque l'intégration des e-mails est correctement configurée, CloudControl gère les rebonds d'e-mails dans vos envois en masse et incrémente un  champ  Rebond  avec le nombre de messages renvoyés.  Vous pouvez périodiquement revoir vos contacts ou prospects avec une recherche personnalisée sur  "Rebond  supérieur à  0"  et les nettoyer / supprimer.

En matière de rectification, les utilisateurs et clients peuvent également corriger leurs propres données personnelles (nom, email, adresse) via le portail.

Consent (Art. 7)

Lorsque vous collectez des données personnelles via les mécanismes par défaut (par exemple, formulaire de contact, abonnement à une liste de diffusion, abonnements à des événements), vous devez établir un  objectif  et  une base juridique  pour le traitement.  Cela dépend grandement de la façon dont vous utiliserez les données.

Si le but est spécifique et évident (par exemple, stocker les participants à l'événement enregistrés pour les tenir informés de la durée de l'événement; abonner quelqu'un à la liste de diffusion qu'ils ont choisie), vous n'avez pas besoin de demander leur consentement explicite (les données personnelles sont  nécessaires pour un contrat  - article 6, paragraphe 1, point b).  Cependant, vous devez toujours préciser l'objectif à l'utilisateur et vous référer à votre page Politique de confidentialité où vous donnez plus d'informations.  Vous pouvez utiliser le générateur de site Web de CloudMarketing pour modifier les formulaires et ajouter les mentions requises.

Cependant, si vous prévoyez d'utiliser les données collectées à d'autres fins, vous devez obtenir le consentement explicite de l'utilisateur à chaque fin.  La méthode recommandée consiste à ajouter des cases à cocher à votre formulaire pour obtenir le consentement pour chaque objectif spécifique (par exemple, "Veuillez m'envoyer des remises et des promotions sur des produits similaires par e-mail").  Pour ce faire avec CloudControl, vous pouvez:

  1. Ajouter un champ de case à cocher (booléen) sur le document collectant des données personnelles (par exemple, prospects / opportunités), pour représenter le consentement à cette fin
  2. Ajoutez la case à cocher dans votre formulaire de site Web via le générateur de site Web de CloudControl
  3. Utilisez ce champ lors du traitement des données à cette fin, par exemple dans les filtres de segment de vos campagnes marketing

Confidentialité dès la conception (art. 25)

La sécurité par conception est au cœur de notre travail de R&D chez CloudControl, et nous appliquons les meilleures pratiques de sécurité pour rendre nos logiciels sûrs, robustes et résilients   pour tout le monde.

Contrôle d'accès -  Le mécanisme de contrôle d'accès par défaut basé sur le groupe CloudControl vous permet de restreindre l'accès aux données personnelles en fonction du rôle et des besoins de chaque utilisateur.  (par exemple: un chef de projet peut ne pas avoir besoin d'accéder aux demandes d'emploi).  Si vous examinez les affectations des groupes d'utilisateurs et les gérez correctement lorsque les rôles changent dans votre organisation, vous disposez d'une base de confidentialité solide.  Vous pouvez facilement ajouter ou modifier des groupes d'utilisateurs pour les adapter à votre organisation.

Règles d'enregistrement -  Pour affiner l'accès aux données personnelles, vous pouvez utiliser le concept de règles d'enregistrement, qui vous permettent de restreindre l'accès aux documents en fonction de tout critère basé sur les valeurs des champs.  Les règles d'enregistrement peuvent bloquer les opérations de lecture et / ou d'écriture, et elles fonctionnent par document. 

Mots de passe -  CloudControl stocke les mots de passe des utilisateurs avec un hachage sécurisé standard.  Il est également possible d'utiliser des systèmes d'authentification externes tels que OAuth 2.0 ou LDAP, afin d'éviter de stocker du tout les mots de passe des utilisateurs.

Données sur les employés -  Un domaine dans lequel les bases de données CloudControl sont susceptibles d'inclure des données personnelles sensibles est l'  onglet  Informations privées  du formulaire employé et leurs contrats.  Cette partie du répertoire des employés n'est visible que par le personnel des RH (groupe «Responsable des RH»), qui en a besoin pour son travail.  Nous avons récemment étendu cette protection à l'adresse personnelle des employés, qui sont stockées en tant que contacts, en ajoutant un nouveau type d'adresse ("Privé") qui n'est visible que par le personnel RH.