Préparez-vous au RGPD avec Trackforce

La protection fait partie des fondements de Trackforce. Nous avons à cœur de construire une relation de confiance avec nos clients et d’être tout à fait transparents vis-à-vis de leurs données personnelles. Notre rôle est aussi de les soutenir dans leur démarche de mise en conformité au RGPD

LES GRANDS PRINCIPES DU RGPD

Qu’est-ce que le RGPD ?

Le RGPD est la nouvelle réglementation européenne relative à la protection des données, entrant en vigueur le 25 Mai 2018. Placé dans un contexte d’internationalisation complexe de flux de données sensibles et de développement technologique rapide, le RGPD a pour objectif de renforcer la protection des données à caractère personnel. Il met à jour et abroge les transpositions nationales issues de la Directive Européenne 95/46/CE sur la protection des données, instituée par le Parlement Européen et le Conseil en 1995.

Quels sont les grands axes du RGPD ?

Les principaux changements sont les suivants : L’élargissement des droits à la protection des données personnelles pour les résidents de l’UE, L’obligation de notification des violations de données personnelles, Le renforcement des obligations de sécurité des entreprises, Le profilage et le traitement des données soumis à des obligations particulières, La mise en place des BCR (Binding Corporate Rules) ou règles d’entreprise contraignantes, qui permettent d’encadrer les transferts de données personnelles hors de l’Union Européenne, Une amende de 4% du CA annuel mondial pour les entreprises qui ne respectent pas le règlement, La nécessité d’identifier une « Autorité de Contrôle Chef de File » pour les sociétés qui effectuent du traitement de données transfrontalier.

Le RGPD s’applique-t-il à mon entreprise ?

Vous êtes concerné par le RGPD dès lors que votre société est établie dans l’UE, que vous traitiez des données personnelles dans l’UE ou en dehors de ses frontières. Le traitement de données personnelles signifie toute forme d’opérations portant sur lesdites données, telles que collecte, stockage, transfert, diffusion ou effacement…

Si vous n’êtes pas établi au sein de l’UE, le RGPD s’applique à vous dès l’instant où vous offrez des biens ou services (payants ou gratuits) à des résidents européens ou si vous surveillez leur comportement. Ceci peut aller de l’utilisation des cookies sur des sites web, au traçage des habitudes de navigation des visiteurs, entre autres exemples.

Avant le RGPD, il y avait une distinction assez claire entre le « Responsable du Traitement » (l’entité qui détermine la finalité et les moyens du traitement des données) et les « sous-traitants » (tout organisme qui effectue du traitement de données à caractère personnel pour le compte d’un Responsable du traitement). Le RGPD s’applique à la fois aux Responsables de Traitement et aux Sous-Traitants.

Clause de non-responsabilité

Ce courrier n’est pas un extrait de la documentation officielle relative à la Réglementation Européenne sur la protection des données et ne saurait faire office de conseil juridique en la matière. Ce document ne peut en aucun cas être exploité à titre d’interprétation des règles de droit.

Voici une liste de questions pour vous aider à évaluer votre niveau de conformité au RGPD :

questions list

“Quelles sont les données personnelles que nous recueillons / conservons ?”

“Est-ce que nous transférons des données en dehors de l’UE ? Si oui, disposons-nous d’un système de protection adapté ? ”

“Recueillons-nous ou traitons-nous des catégories particulières de données personnelles, telles que des informations sensibles, des données relatives aux enfants, des données biométriques ou génétiques… Si c’est le cas, respectons-nous les normes en matière de collecte, de traitement et de stockage ?”

“Notre système de sécurité et de protection des données personnelles est-il optimal et fiable ? Par exemple, faut-il avoir recours au chiffrement ou à la pseudonymisation pour protéger les données personnelles que nous détenons ? Limitons-nous l’accès aux données afin de garantir qu’elles ne soient utilisées qu’à leurs fins initiales.”

“Veillons-nous à ne pas les conserver plus longtemps que nécessaire et à les tenir à jour ?”

“Notre système de sécurité et de protectiondes données personnelles est-il optimal et fiable ? Par exemple, faut-il avoir recours au chiffrement ou à la pseudonymisation pour protéger les données personnelles que nous détenons ? Limitons-nous l’accès aux données afin de garantir qu’elles ne soient utilisées qu’à leurs fins initiales.”

Quelles sont les modifications apportées par le RGPD ?

icon

Droit de la
personne

icon

Procédures
Internes

icon

Autorités de
contrôle

icon

Portée,
Accountability
et Sanctions

Consentement

Chaque fois qu’une personne est sur le point de soumettre ses informations personnelles, le responsable de traitement (en général, une société) doit veiller à obtenir son consentement au préalable. Le RGPD renforce les normes relatives aux obligations d’information des usagers et définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ». Il précise par ailleurs que la demande de consentement devra « être présentée sous une forme qui la distingue clairement », formulée de manière « compréhensible et aisément accessible ». Il est important que les Responsables de traitement soient en mesure de prouver que les processus mis en place respectent la norme RGPD. Auparavant, en vertu de la DPD, le consentement pouvait être déduit d'une action ou d'une inaction lorsque cette action ou inaction signifiait clairement un consentement. La Directive laissait donc la possibilité d’utiliser les pratiques d’opt-out, qui permettent aux utilisateurs de se désabonner. Le RGPD modifie ce paramètre en exigeant que la personne concernée donne son accord par « une déclaration ou par un acte positif clair ».

En résumé, le consentement de votre client ne peut être forcé, et ce dernier doit accepter en pleine conscience le traitement de ses données personnelles. De plus, il doit savoir exactement ce à quoi il consent et il doit être informé à l'avance de son droit à retirer ce consentement. Le consentement doit être obtenu par une indication positive, c'est-à-dire qu'il ne peut être déduit du silence, de cases pré-cochées ou de l'inactivité. Cela signifie qu'il sera essentiel à l'avenir d'informer l'utilisateur pendant le processus d'inscription.

Nouveaux droits pour les individus

Le règlement prévoit aussi deux nouveaux droits pour les personnes concernées : le premier est le droit à l’effacement (« droit à l’oubli »). Par voie de conséquence, si des données ont été transmises à un tiers, le Responsable de traitement doit accomplir les diligences utiles, afin d’alerter les tiers des demandes d’effacement. Le second est le "droit à la portabilité des données" qui permet aux personnes concernées d'exiger une copie de leurs données dans un format couramment utilisé. Grâce à ces deux droits, il sera désormais plus facile pour les utilisateurs de demander que les informations stockées soient supprimées ou que les informations collectées soient partagées avec eux.

Demande d’accès

Les personnes concernées ont toujours eu le droit de demander l'accès à leurs données. Mais le RGPD renforce ces droits. Dans la plupart des cas, vous ne pourrez pas facturer le traitement d'une demande d'accès aux données, à moins que vous ne puissiez démontrer que le coût sera excessif. De plus, le délai de traitement d'une demande d'accès passera de 40 à 30 jours. Dans certains cas, les organisations peuvent refuser une demande d'accès, lorsque la demande est jugée infondée ou abusive. Toutefois, les sociétés devront mettre en place des clauses et des procédures de refus claires et démontrer en quoi la demande répond à ces critères de refus.

Comment vous préparer ?
Voici une check-list utile :

steps

Obtenir l’adhésion générale et constituer une équipe

  • Sensibiliser les dirigeants à l’importance de la mise en conformité au RGPD
  • Requérir l’appui de la direction pour obtenir les ressources financières et le personnel nécessaires
  • Désigner un coordinateur responsable de la mise en conformité
  • Constituer un comité de pilotage composé de personnes clés
  • Identifier toutes les personnes compétentes en matière de protection de données au sein de l’entreprise

Évaluer son entreprise

  • Passer en revue sa politique de protection des données, afin d’identifier les besoins
  • Repérer tous les systèmes où l’entreprise stocke des données à caractère personnel et créer un inventaire de ces données
  • Établir un registre de toutes les activités de traitement de données et procéder à une analyse d’impact relative à la protection des données (PIA), et ce pour toutes les activités qui présentent un niveau de risque élevé

Mettre en place des contrôles et des procédures spécifiques

  • S’assurer que des avis de confidentialité soient présents partout où des données personnelles sont recueillies
  • Mettre en place des contrôles afin de s’assurer que les données personnelles ne sont pas utilisées à des fins autres que celles prévues initialement
  • Instaurer des mécanismes de gestion des préférences en matière de consentement pour les personnes concernées
  • Mettre en œuvre des mesures et des processus de sécurité administrative, physique et technologique adaptés, afin de détecter les failles de sécurité et pouvoir agir rapidement
  • Établir des procédures pour répondre aux demandes d'accès, de rectification, d'opposition, de restriction, de portabilité et de suppression (droit à l’effacement ou droit à l’oubli).
  • Revoir les contrats liant l’entreprise à des fournisseurs, prestataires ou sociétés affiliées qui collectent ou reçoivent des données personnelles. Créer de nouveaux contrats avec eux s’ils n’existent pas encore.
  • Établir un processus d’analyse d’impact relative à la protection des données (DPIA)
  • Former le personnel et les sous-traitants aux règles de protection des données

Mise en conformité des documents

  • Rassembler des copies de tous les documents importants : avis et accords de confidentialité, formulaires de consentement, l’inventaire des données personnelles, le registre des activités de traitement, politiques écrites et procédures, les supports écrits utilisés pour la formation, les accords de transfert de données intra-entreprises et les contrats fournisseurs.
  • Nommer un délégué à la protection des données si vous avez l’obligation de le faire et identifier l’autorité de contrôle de référence au sein de l’UE
  • Effectuer des évaluations de risques de manière périodique

LA MISE EN CONFORMITÉ DE TRACKFORCE

Trackforce s’engage à aider ses clients dans leur démarche de mise en conformité au RGPD. Nous avons
soigneusement étudié les obligations du RGPD et nous nous efforçons d’apporter les améliorations nécessaires à nos produits,
à nos contrats et à l’ensemble de notre documentation.

Nos produits

Droit à l’effacement (« Droit à l’oubli »)

Vous serez probablement amené à effacer l’historique des données clients, afin d’être en conformité avec la réglementation sur la protection des données et de la vie privée. Trackforce vous proposera plusieurs options de durée de conservation pour les données suivantes :

Type de donnée personnelle Période de rétention max. Action à la fin de la période de rétention
Multimédia personnel (photos
et vidéos)
jusqu’à 3 mois après
la création
supprimé
Données sur les visiteurs jusqu'à 3 mois après
la visite
rendues anonymes
L'historique des données GPS jusqu'à 6 mois après
la création
supprimé
Données sur la formation jusqu'à 12 mois après
le départ de l'employé
supprimé
Tous les rapports jusqu’à 5 ans après leur création supprimé
Les différents champs
modèle d’activité
jusqu’à 5 ans après la création rendus anonymes

Les périodes de rétention çi-dessus seront configurées par défaut. Vous pourrez ensuite personnaliser vos paramètres RGPD comme expliqué ci-dessous :

  • Allez dans Paramétrage > Configuration Générale
  • Cliquez sur “Paramètres RGPD”
  • Pour chaque catégorie, sélectionnez la durée générale de conservation des données (la plus longue durée possible est affichée par défaut)
  • Vous pouvez configurer des durées de conservation différentes en fonction des clients en utilisant l’option « Ajouter des exceptions par client »
  • Démonstration vidéo ci-dessous :

De votre côté, si vous ne travaillez plus avec un client, vous pourrez conserver ses données personnelles jusqu'à 5 ans et ses fichiers multimédia (photos et vidéos) jusqu'à 3 mois.

Portabilité des données

Vous pourrez utiliser la plateforme Trackforce dans le cas où vos clients souhaitent récupérer ou exporter leurs données. Celles-ci peuvent être extraites sur demande.

Sécurité

Trackforce dispose d’une sécurité intégrée à tous les niveaux de sa plateforme. La couche d'infrastructure est dotée de fonctions de réplication, de sauvegarde, de chiffrement et de reprise après sinistre. Les services réseau disposent d'un chiffrement de données en transit et d'une détection avancée des menaces à l’aide d’IPS/IDS. Nos applications implémentent le contrôle d’identité, d’authentification à deux facteurs et des droits utilisateur.

Limitation du traitement

Trackforce améliore ses produits afin que les responsables de traitement ou les sous-traitants puissent techniquement limiter l'utilisation des données personnelles (par exemple en limitant l'accès aux rapports ou en affectant les données personnelles d'une personne concernée à un site ou un compte spécifique).

A titre de clause de non-responsabilité, un message d’information apparaitra sur tous les documents PDF ou emails envoyés par l’application, pour demander la suppression dudit document, avant la fin de la période de conservation (une date précise sera indiquée).

Notre documentation légale

“Accountability” et Transparence

Consentement

A l’approche de l’échéance fixée au 25 Mai prochain, Trackforce a nommé un Délégué à la Protection des Données (DPO) et se focalise sur la mise en conformité au RGPD.

Notre équipe juridique s’occupe actuellement de mettre à jour la documentation légale et contractuelle. Elle y fera figurer entre autres les modifications produits et les mentions légales relatives aux sous-traitants, conformément à l’article 28 du RGPD. (Les principaux documents concernés sont : les Conditions Générales d’Utilisation des Services, le Contrat de Sous-traitance et la Politique de Confidentialité).

Nous avons également créé une adresse email dédiée à toutes les questions relatives au RGPD : dpo@trackforce.com

FAQ

Qui dois-je contacter pour obtenir mes données personnelles ?

Pour toute question relative au RGPD, vous pouvez contacter notre Délégué à la Protection des données à l’adresse suivante : dpo@trackforce.com

Quels documents dois-je fournir pour obtenir mes données personnelles ?

Vous devrez fournir tout document prouvant votre identité

Est-il possible de modifier mes paramètres RGPD une fois créés ?

Oui, à tout moment

Combien de temps conservez-vous les données des clients ?

Chaque client sélectionne la période de conservation qu’il souhaite paramétrer, dans les limites des règles du RGPD. La période la plus longue s’affiche par défaut.

Que dois-je faire si un client souhaite que ses données soient supprimées plus rapidement que les autres ?

Vous pouvez créer des exceptions sur la page de configuration

Est-il possible de récupérer mes données une fois rendues anonymes ?

L'anonymisation, telle que définie par le RGPD, est irréversible.

Quel type de données personnelles recueillez-vous ?

Cela dépend de votre société de sécurité, veuillez-vous référer à ses représentants ou à son DPO le cas échéant.

Quel type de données dans votre plateforme est assujetti à la conformité au RGPD ?

Multimedia comportant des données personnelles, historique GPS, données des visiteurs, données des employés, champs de données personnelles dans les formulaires d'activité (chaque client définit les données qu'il souhaite plus particulièrement protéger).

Que se passe-t-il si je dois documenter un incident grave auprès des compagnies d'assurance ou de la justice ?

Il est de la responsabilité du client de télécharger tout rapport requis avant la fin de la durée limite de conservation. À l'expiration de cette période, Trackforce ne sera pas en mesure de récupérer vos données.

Que se passe-t-il si un email est envoyé avec mes informations (ou celles de mes employés) ?

Une clause de non-responsabilité apparaitra sur tous les documents PDF ou emails envoyés par l'application. Le destinataire du document est responsable de la conformité au RGPD.

Une filiale Trackforce peut-elle accéder aux données d'une filiale d'un autre pays ?

Non, les données personnelles sont cloisonnées et segmentées d'une filiale à l'autre. Chaque filiale ne peut accéder qu'à ses propres données.

Est-ce que Trackforce peut obliger ses sous-traitants à se conformer au RGPD ?

Non, cependant, à partir du 25 mai 2018, Trackforce ne fera appel qu'à des sous-traitants qui présentent des garanties suffisantes quant au respect du RGPD.

Que se passera-t-il si Trackforce développe à l'avenir de nouvelles applications qui ne sont pas prises en compte dans la mise en conformité actuelle ?

Afin de respecter les obligations du RGPD, Trackforce effectuera une analyse d’impact relative à la protection des données (PIA) à chaque lancement de nouveau produit.