Règlement Général sur la Protection des Données
Le Règlement sur la Protection des Données Personnelles (RGPD) encadre les traitements de données personnelles réalisées sur les personnes physiques. Il permet d’encadrer les évolutions technologiques tout en respectant les données à caractère personnel des personnes concernées.
Pour cela, le RGPD donne un cadre aux entreprises responsables de traitement et/ou à ses sous-traitants. Certaines obligations permettent une transparence complète des traitements.
Ajout de fonctionnalités à nos produits ou dans le cadre de prestations
Toute réflexion sur l’adoption de nouvelles fonctionnalités est discutée entre nos équipes produit et notre équipe RGPD pour étudier la faisabilité juridique et les bonnes pratiques à mettre en place. Afin d’encadrer les usages de nos technologies et de nos produits, nous consultons également notre comité éthique et nos collaborateurs. De plus, nous suivons les principes du privacy by default et du privacy by design qui ont pour objectif d’intégrer la protection de la vie privée tout au long du cycle de vie des diverses technologies et applications qui traitent des données personnelles :
Privacy by design
Nous prévoyons que les considérations de protection de la vie privée doivent être prises en compte dès la conception du produit ou du service amené à collecter, traiter ou utiliser des données personnelles. C’est à dire que le respect de la vie privée doit dès le départ constituer une préoccupation des développeurs afin de l’intégrer dans la structure même du service.
Ainsi, à chaque début de chaque projet nous prenons en considération le principe de minimisation des données personnelles qui veut que la collecte de données personnelles soit strictement limitée à ce qui est nécessaire à la réalisation du service. Aucune donnée superflue ne doit être collectée si elle n’a pas d’utilité pour le service.
Privacy by default
C’est le corollaire du privacy by design, qui implique que dès la conception du service ou du produit, le plus haut niveau de protection de la vie privée soit mis en place et applicable par défaut.
Ainsi nous travaillons pour que, sans aucune intervention de la part de nos utilisateurs, l’ensemble des mesures disponibles afin de protéger les données personnelles et d’en limiter la collecte doit être activé.
Nos mesures et règles
Tout développement d’application, de site, ou de service en ligne prévoie dès l’origine des mesures aptes à garantir la vie privée de l’utilisateur. Nous les appliquons par défaut en faisant en sorte que seule une action délibérée puisse les désactiver.
Parmi nos mesures nous avons par exemple la pseudonymisation des données personnelles qui à l’inverse de l’anonymisation est un procédé réversible à tout moment (anonymiser des données personnelles permet de les soustraire à l’application du RGPD dans la mesure où il est dès lors impossible d’identifier la personne à laquelle se rattache les données. Le lien rattachant la personne à ses données est supprimé définitivement).
Par pseudonymisation nous séparerons et isolons les données permettant d’identifier une personne. Toutefois, les éléments d’identification sont conservés de manière à pouvoir rétablir le lien si nécessaire. La pseudonymisation est dès lors une anonymisation temporaire qui protège la vie privée des utilisateurs en cas de piratage ou d’interception de données dès lors que les clés d’identification sont conservées en sécurité.
Nous veillons aussi au chiffrement des données, c’est-à-dire l’utilisation d’un procédé de cryptographie qui rende illisibles les données personnelles à quiconque n’a pas la clé de déchiffrement pour les déchiffrer.
Journalisation des actions
Afin de gérer les données à caractère personnel, un outil de suivi, de journalisation des actions propres aux données que nous traitons a été développé. Grâce à ce dernier, nous maîtrisons la chaîne de traitement de nos données.
SSO
Nous distinguons notre infrastructure de celle de nos clients. Nos données sont pourvues d'un identifiant d'interopérabilité permettant une pseudonymisation et impersonation. De ce fait, si nous sommes amenés à implémenter de la gestion d'autorisations, nous sommes capables de reposer sur les système d'authentification de nos clients sans autres données que le lien d'interopérabilité.
Sensibilisation
Pour que tous nos collaborateurs se sentent concernés par les enjeux RGPD, les nouveaux arrivants suivent une formation de sensibilisation au RGPD menée par notre DPO et notre juriste sur les principaux concepts et leurs applications au sein de l’entreprise.
Autonomie, réversibilité et clarté
Nous garantissons à nos clients la localisation de l'hébergement de leurs données et nous veillons à respecter leurs souhaits sur cette localisation.
Nous garantissons à nos clients de nous adapter à leurs règles sur la protection de leurs données comme le temps de stockage des logs d'informations.
Nous garantissons à nos clients un accès aux données que nous générons et utilisons dans le cadre de nos prestations ou de nos licences logicielles.
Accès au texte
Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
https://www.cnil.fr/fr/reglement-europeen-protection-donnees
