RGPD – Ce que iPélé fait à ce sujet.
Les fournisseurs d’iPélé ont toujours respecté les droits de leurs utilisateurs en matière de confidentialité et de protection des données. Au fil des ans, ils ont démontré leur engagement à cet égard en dépassant constamment les normes de l’industrie. Il n’est fait aucnue collecte ni aucun traitement des informations personnelles des utilisateurs au-delà de ce qui est nécessaire au fonctionnement de iPélé. Nous conservons un soucis de la vie privée, et les RGPD présentent une opportunité de l’affirmer davantage.
Qu’est-ce que le RGPD ?
Le RGPD est une loi européenne sur la protection de la vie privée et des données qui réglemente la manière dont les données des résidents de l’UE sont protégées par les entreprises et renforce le contrôle des résidents de l’UE sur leurs données personnelles.
Le RGPD est pertinent pour toute entreprise opérant à l’échelle mondiale et pas seulement pour les entreprises basées dans l’UE et les résidents de l’UE. Les données de nos clients sont importantes, quel que soit leur emplacement, c’est pourquoi les prestataires choisis ont mis en place des contrôles RGPD comme norme de base pour toutes nos opérations dans le monde. Le RGPD est entré en vigueur le 25 mai 2018 .
Qu’est-ce qu’une donnée personnelle ?
Toute donnée relative à une personne identifiable ou identifiée. Le RGPD couvre un large éventail d’informations pouvant être utilisées seules ou en combinaison avec d’autres éléments d’information pour identifier une personne. Les données personnelles s’étendent au-delà du nom ou de l’adresse e-mail d’une personne. Certains exemples incluent les informations financières, les opinions politiques, les données génétiques, les données biométriques, les adresses IP, l’adresse physique, l’orientation sexuelle et l’origine ethnique.
Dans quelle mesure iPélé est-il préparé pour le RGPD ?
Les fournisseurs d’iPélé agissent sur plusieurs fronts pour respecter cette nouvelle réglementation.
Ils ont sensibilisé l’ensemble de l’organisation grâce à des discussions fréquentes dans leurs canaux internes et formé les employés à gérer les données de manière appropriée. Ils comprennent désormais l’importance de la sécurité des informations et les normes élevées fixées par le RGPD.
Ils ont également évalué tous les produits utilisés par iPélé, individuellement, par rapport aux exigences du RGPD et avons mis en place de nouvelles fonctionnalités qui vous donneront plus de contrôle sur vos données et vous faciliteront la tâche pour vous conformer au RGPD.
Les prestataires d’iPélé ont constitué un registre des actifs informationnels (IAR), qui comprend des informations sur tous les rôles assumés, tels que le contrôleur et le sous-traitant des données. Il détaille les différentes catégories de données personnelles traitées par leur organisation et quel service a accès à quelles données et dans quel but. Ce registe comporte une couverture complète de tous les processus et procédures.
Ils ont évalué nos sous-traitants ultérieurs (fournisseurs de services tiers, partenaires) et rationalisé le processus contractuel avec eux pour s’assurer qu’ils ont répondu aux besoins pressants du monde actuel de la sécurité et de la confidentialité.
Ils ont nommé des champions internes de la confidentialité pour toutes leurs équipes. Ils ont également nommé un Délégué à la Protection des Données (DPO).
Ces équipes d’application ont adopté le concept de confidentialité dès la conception et fournissent plus de contrôle sur les données stockées dans les systèmes. Ces dispositions peuvent varier en fonction des caractéristiques et du domaine d’un produit. Les fournisseurs s’ efforcent constamment de fournir davantage d’améliorations, qui seront déployées par phases.
Ils ont modifié leur avenant sur le traitement des données (basé sur les clauses contractuelles types) pour se mettre en conformité avec les exigences de traitement des données du RGPD.
Ils ont mené des évaluations d’impact sur la protection des données (DPIA). Sur la base des résultats, ils ont mis en place des contrôles appropriés sur le traitement et la gestion des données.
Des audits internes de nos produits, processus, opérations et gestion ont été menés. Les résultats ont été communiqués à nos équipes qui ont élaboré les solutions aux problèmes identifiés.
Sur la base des DPIA et des audits internes, les méthodes et processus de sécurité des données ont été améliorés. Cela inclut le chiffrement des données au repos, en fonction du niveau de sensibilité et de la probabilité des risques. Des outils internes ont été développés pour une meilleure gouvernance et découverte des données.
Les bases de données ont été nettoyées pour nous assurer que seules les informations les plus récentes et les plus précises sont stockées. Ce processus de nettoyage comprend la suppression des comptes résiliés et inactifs conformément à nos conditions d’utilisation.
Si nécessaire, les notifications de violation seront effectuées conformément à notre politique interne de réponse aux incidents de confidentialité. Les clients seront informés d’une violation dans les 72 heures suivant la prise de connaissance de iPélé. Pour les incidents généraux, nous informerons les utilisateurs via nos blogs, forums et réseaux sociaux. Pour les incidents spécifiques à un utilisateur individuel ou à une organisation, nous informerons la partie concernée par e-mail (en utilisant son adresse e-mail principale).
Nous avons révisé notre politique de confidentialité pour intégrer les exigences des lois applicables en matière de confidentialité en fonction de notre inventaire de données, de nos flux de données et de nos pratiques de traitement des données.
Le règlement général sur la protection des données (RGPD) de l’UE change la donne en matière de législation sur la protection des données et la vie privée. L’UE a réalisé que si la technologie a considérablement évolué au cours des dernières décennies, les lois sur la protection de la vie privée n’ont pas évolué. En 2016, les organismes de réglementation de l’UE ont décidé de mettre à jour la directive actuelle sur la protection des données pour l’adapter à l’évolution des temps. Cette loi crée une liste complète des réglementations qui régissent le traitement des données personnelles des résidents de l’UE.
Le RGPD s’applique à toute organisation qui travaille avec les données personnelles des résidents de l’UE. Cette loi introduit de nouvelles obligations pour les sous-traitants tout en énonçant clairement la responsabilité des responsables de traitement.
Cette loi n’a pas de frontières territoriales. Peu importe d’où vient votre organisation — si vous traitez les données personnelles de sujets de l’UE, vous tombez sous la juridiction de la loi.
Une violation du RGPD entraîne une amende pouvant aller jusqu’à 4 % du chiffre d’affaires mondial annuel ou 20 millions d’euros (selon le montant le plus élevé).
Personne concernée – Une personne physique résidant dans l’UE qui fait l’objet des données.
Responsable du traitement – Détermine la finalité et les moyens du traitement des données.
Processeur de données – Traite les données sur les instructions du responsable du traitement.
Autorités de contrôle – Autorités publiques qui contrôlent l’application de la réglementation.
Toute information relative à une personne physique identifiée ou identifiable. Les identifiants sont classés en deux types : directs (par exemple, nom, e-mail, numéro de téléphone, etc.) et indirects (par exemple, date de naissance, sexe, etc.).
Droits nouveaux et renforcés pour les personnes concernées – Cette loi donne à un individu le droit d’exercer une autorité complète sur ses données personnelles. Certains des droits mis en évidence dans le règlement sont les suivants :
Consentement explicite : Les personnes concernées doivent être informées de la manière dont leurs données personnelles seront traitées. Les organisations doivent permettre aux personnes concernées de retirer leur consentement aussi facilement que de l’accorder.
Droit d’accès : À tout moment, la personne concernée peut demander au responsable du traitement quelles données personnelles sont stockées ou conservées à son sujet.
Droit à l’oubli : La personne concernée peut demander au responsable du traitement de supprimer ses informations personnelles des systèmes du responsable du traitement.
Obligations des sous-traitants – Le RGPD a également relevé la barre des responsabilités et obligations des sous-traitants. Les sous-traitants doivent être en mesure de démontrer leur conformité au RGPD et ils doivent suivre les instructions du responsable du traitement.
Délégué à la protection des données- Les organisations peuvent avoir besoin de nommer un membre du personnel ou un fournisseur de services externe qui est responsable de la supervision du RGPD, de la conformité générale de la gestion de la confidentialité et des pratiques de protection des données.
Évaluations des incidences sur la vie privée (ÉFVP)- Les organisations doivent mener des évaluations d’impact sur la vie privée de leur traitement de données à grande échelle afin de minimiser les risques et d’identifier des mesures pour les atténuer.
Notification de violation- Les responsables du traitement doivent informer les parties prenantes (l’autorité de contrôle et, le cas échéant, les personnes concernées) dans les 72 heures suivant la prise de connaissance d’une violation.
Portabilité des données : Le responsable du traitement doit être en mesure de fournir aux personnes concernées une copie de leurs données personnelles dans un format lisible par machine. Si possible, ils doivent pouvoir transférer les données à un autre responsable du traitement.
Le responsable du traitement peut choisir parmi six bases de traitement des données. Ceux-ci sont:
Contrat – Cela s’applique lorsque vous devez traiter les données personnelles du client pour remplir vos obligations contractuelles ou pour prendre des mesures en fonction de la demande du client (par exemple, envoyer un devis ou une facture).
Obligation légale – Cela s’applique lorsque vous devez vous conformer à une obligation en vertu de toute loi applicable (par exemple, fournir des informations en réponse à des demandes valides, telles qu’une enquête menée par une autorité).
Intérêts vitaux – Cela s’applique aux questions urgentes de vie et de mort, en particulier en ce qui concerne les données de santé.
Tâche publique – Cela s’applique aux activités des autorités publiques.
Intérêts légitimes – Les intérêts légitimes peuvent inclure des intérêts commerciaux, tels que le marketing direct, des intérêts individuels ou des avantages sociétaux plus larges. Le responsable du traitement doit documenter et conserver un enregistrement des décisions sur les intérêts légitimes sous la forme d’une évaluation des intérêts légitimes.
Consentement – Le consentement est également une base légale pour traiter les données. Par consentement de la personne concernée, on entend « toute indication librement donnée, spécifique, informée et non équivoque de la volonté de la personne concernée par laquelle elle, par une déclaration ou par une action affirmative claire, signifie son accord au traitement des données à caractère personnel la concernant ou elle. »
LIA signifie évaluation des intérêts légitimes. Il précise la raison pour laquelle une organisation souhaite traiter les données personnelles d’un client.
L’organisation doit également mener une LIA pour montrer que le traitement est nécessaire.
L’évaluation de l’existence d’un intérêt légitime.
L’établissement de la nécessité du traitement.
La performance du test d’équilibrage.
Non, le RGPD n’exige pas que les données personnelles de l’UE restent dans l’UE, et n’impose aucune nouvelle restriction sur les transferts de données personnelles en dehors de l’UE. Notre addendum sur le traitement des données, qui fait référence aux clauses types de la Commission européenne, continuera d’aider nos clients à faciliter les transferts de données personnelles de l’UE en dehors de l’UE.
Voici quelques liens auxquels vous pouvez vous référer pour une lecture supplémentaire sur le RGPD :
Trouvez votre autorité de contrôle – https://edpb.europa.eu/about-edpb/board/members_en
Contrôleur européen de la protection des données – https://edps.europa.eu
Site Web du RGPD de l’UE – https://gdpr.eu/
Règles pour les entreprises et les organisations – https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_en
Guide de votre organisation sur le RGPD – https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/
Remarque : iPélé n’est pas responsable du contenu de ces pages.
Liste des traitements
La liste des traitements à pour but d’informer le propriétaire des données qui ont été confiées pour permettre à ce dernier de participer à un évènement ou de recevoir des informatons de la part de l’organisation qui en a la charge.
Informations de la part de l’organisation :
Sauf demande contraire, l’organisation pourra informer toute personne lui ayant confié ses données personnelles dans les buts décrits plus haut.
Informations adressées au propriétaire des données, dans le but de lui fournir les informations requises afin de participer à l’évènement dans les meilleurs conditions.
Communication des Nom Prénoms, Age au transporteur si besoin
Communication des Nom Prénom, lien personnel, Age à l’hébergeur si besoin
Pour les données sensibles, traitements et communication uniquement à des fins médicales à d’autres personnels médicaux si besoin.