RGPD
Le Règlement Général pour la Protection des Données de l'Union européenne (RGPD) est en vigueur. ZAP s'engage à aider ses clients à se conformer à cette nouvelle réglementation.
Qu’est ce que le RGPD
Le Règlement Général pour la Protection des Données (RGPD) est un règlement européen du 27 avril 2016 qui a pour but de protéger les personnes physiques et leurs données personnelles.
En effet de nombreux services se sont développés sur le web et monétisent les données personnelles des utilisateurs, souvent à leur insu. Les risques vont au-delà de l’usage marketing et commercial non souhaité, c’est une sujet de société important.
Bien que le RGPD n’introduise pas beaucoup de nouveaux concepts, ce règlement augmente considérablement les exigences de conformité des responsables de traitement de données à caractère personnel.
Quelles sont les entreprises concernées ?
Toute organisation qui recueille ou traite des données personnelles au sein de l'Union européenne est soumise à cette réglementation, quel que soit son lieu d’implantation.
Les entreprises principalement visées sont celles qui collectent, exploitent ou commercialisent des données personnelles, souvent pour des usages marketing et commerciaux. Ce sont par exemple :
-
un moteur de recherche qui vous affiche de la publicité en fonction de vos recherches,
-
un service de messagerie électronique qui vous affiche de la publicité en fonction du contenu de vos messages,
-
un réseau social qui vous pousse des informations à caractère publicitaire en fonction de votre profil,
-
une application qui récolte des informations personnelles pour les revendre,
-
un service qui recoupe avec différentes sources pour cibler des personnes.
Mon organisation est-elle concernée ?
Potentiellement toutes les entreprises sont concernées même si c’est à des degrés variables. Ainsi votre entreprise gère certainement des données sensibles sur des personnes par exemple dans le CRM ou les outils de gestion du personnel.
Le RGPD prévoit une sanction dissuasive pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires, le montant le plus élevé étant retenu.
Il est donc important de s’atteler à la question afin de respecter le RGPD.
Chaque entreprise doit examiner ce règlement pour déterminer s'il s'applique ou non à son organisation.
Selon l'article 3 du RGPD, le règlement s'applique au traitement des données à caractère personnel relatives à des personnes au sein de l’UE par un responsable du traitement ou un sous-traitant, lorsque les activités de traitement sont liées :
-
lorsque les traitements de données sont liées à des offres de biens et de services à des personnes concernées dans l’UE,
-
au suivi du comportement de ces personnes au sein de l’UE (profilage).
Quand le RGPD s’applique-t-il ?
Le RGPD s’applique à partir du 25 mai 2018. Même si vous découvrez cela tardivement, il n’est jamais trop tard pour commencer à agir. En effet votre entreprise n’a probablement pas un modèle commercial qui repose sur l’exploitation des données personnelles et n’est donc pas en première ligne. Par contre, il est nécessaire de démarrer les premières actions (obligation de moyens).
Que doit faire mon organisation pour se préparer ?
Chaque organisation doit déterminer si oui ou non elle doit se conformer au RGPD. Voici quelques conseils pour vous aider à :
Bien comprendre la réglementation
Assurez-vous de bien comprendre ce que la réglementation signifie pour votre organisation.
Il est également nécessaire d’échanger avec les principaux décideurs afin qu'ils comprennent la probable incidence du RGPD dans votre organisation. Il ne faut pas sous-estimer le temps et les ressources nécessaires pour s'adapter à ce règlement.
Déterminer si vous avez besoin de désigner un délégué à la protection des données
Dans le cadre du RGPD, il devient obligatoire pour certains contrôleurs et sous-traitants
de désigner un délégué à la protection des données.
Ce sera le cas pour toutes les autorités et tous les organismes publics qui traitent des données personnelles.
Ce sera également le cas pour les organisations qui, en tant qu'activité principale, contrôlent systématiquement et à grande échelle les individus ou qui traitent des catégories particulières de données à caractère personnel à grande échelle. (l'article 29 du RGPD complète ce sujet).
Réaliser un bilan de l’utilisation des données personnelles
Il faut déterminer où et dans quel but votre organisation recueille des données personnelles.
Est-ce que vous partagez ces informations ? Si oui, à qui ?
Un travail d’énumération et de conformité RGPD de vos processus métiers existants est nécessaire.
Examiner vos pratiques de consentement
Les traitements sur les données personnelles sont possible à partir du moment où une base juridique existe.
Par exemple, demandez-vous actuellement à vos utilisateurs de consentir à la collecte et au traitement de leurs données personnelles ?
Suivre la méthodologie du CNPD
Nous vous conseillons de suivre la méthodologie en 7 étapes proposée par le CNPD pour structurer votre démarche.
L’éditeur de logiciels ZAP et le RGPD
En quoi les éditeurs de logiciels sont-ils concernés ?
Un éditeur de logiciel n’est pas responsable des traitements mis en œuvre par ses clients.
Le responsable de traitement est le propriétaire des données.
En revanche, le CNPD considère qu’il revient au responsable de traitement de choisir des solutions logicielles fournissant des preuves de conformité en matière de « Protection des données ».
Les éditeurs de logiciel sont donc désormais concernés. Ils doivent appliquer des meilleures pratiques telles que les principes de sécurité, de chiffrement, de documentation des problèmes de sécurité liés au logiciel, de minimisation des données personnelles, …
C’est le principe de responsabilité (« accountability » en anglais) où celui qui traite réellement des données personnelles doit prouver qu’il respecte le RGPD.
Les éditeurs de logiciels en mode SaaS sont particulièrement concernés. Dans ce cas, l’éditeur de logiciel devient un prestataire de service qui sous-traite l’hébergement de son logiciel et des données de ses clients à un datacenter. Un contrat de service adapté doit être mis en place encadrant la sous-traitance de l’hébergement, notamment la sécurisation des données.
En quoi l’éditeur ZAP est-il concerné ?
ZAP édite Squareboard, une solution logicielle proposant des fonctionnalités d'intranet/extranet collaboratif, de réseau social, de gestion documentaire, de base de connaissances. Cela amène nos clients à gérer des données à caractère personnel ou sensible concernant des personnes à savoir principalement les employés. Il peut s’agir également de membres externes à l’organisation tels que des fournisseurs, des partenaires ou encore des clients.
Les points positifs avec Squareboard et ZAP ?
Il convient de souligner plusieurs points qui vont dans le bon sens pour le RGPD :
Le modèle commercial de ZAP est celui d’un éditeur « classique ». Les données restent la propriété du client. On n’est donc pas dans le cas de ces sociétés qui monétisent des données personnelles.
La finalité de Squareboard est de communiquer, collaborer, gérer des documents, partager des connaissances... ce que ZAP résume en « Unifier - Communiquer - Collaborer - Accomplir ».
La conception de Squareboard est entièrement tournée vers cette finalité. On n’est donc pas dans le cas où la finalité affichée cache une autre finalité.
Les utilisateurs authentifiés collaborant sur Squareboard le font en conscience sur une base de volontariat et ont la capacité de modifier les données qui les concernent.
On n’est pas dans le cas de sociétés qui récoltent des données personnelles à l’insu de leurs utilisateurs dès lors qu’ils sont bien informés.
Enfin ZAP est particulièrement attentif aux questions de confidentialité et de sécurité. La solution Squareboard intègre notamment le « Privacy by Design » et les mécanismes de protection applicative recommandés par les standards OWASP.
Open Web Application Security Project (OWASP) est une communauté en ligne reconnue travaillant sur la sécurité des applications Web. Sa philosophie est d'être à la fois libre et ouverte à tous. Elle a pour vocation de publier des recommandations de sécurisation Web et de proposer aux internautes, administrateurs et entreprises des méthodes et outils de référence permettant de contrôler le niveau de sécurisation de ses applications Web.
Quels sont les engagements de ZAP ?
ZAP s'engageait déjà, en amont de l'application du RGPD, en faveur de la protection des données qui fait partie intégrante de la conception des offres logicielles et services de ZAP.
Cette conception inclut les nouvelles réglementations du RGPD. ZAP continuera à développer Squareboard, en améliorant les fonctionnalités et en proposant de nouvelles, dans le respect du RGPD afin d’aider ses clients à appliquer au mieux les exigences de ce règlement. ZAP propose de nombreuses fonctionnalités qui répondent aux exigences RGPD, notamment des mécanismes de droits d’accès fins et paramétrables, des mécanismes de conservation et de suppression, le chiffrement des documents et des échanges entre postes clients et serveur, une protection forte des mots de passe, …
Pour aller plus loin
La référence officielle du RGPD est la suivante : règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
https://cnpd.public.lu/fr/legislation/droit-europ/union-europeenne/rgpd.html
Si vous avez des questions relatives aux données personnelles, adressez-vous à Mr Xavier Schaeffer le délégué à la protection des données de ZAP dont la tâche est de garantir le respect de vos droits. Vous pouvez le joindre par email gdpr@zap.lu ou rgpd@zap.lu ou par téléphone au +352 260 931.
ZAP répondra uniquement aux demandes d'un représentant autorisé d’un client et non d'un employé individuel.