Foire aux questions concernant le RGPD

JAGGAER-Everywhere

 

Principes de base du RGPD

Qu’est-ce que RGPD ?

Le Règlement général sur la protection des données (« RGPD ») est la nouvelle législation de l’Union européenne sur la protection de la vie privée, entrée en vigueur le 25 mai 2018. Il remplace la précédente directive 95/46/CE sur la protection des données par des mesures plus étendues de protection de la vie privée des résidents de l’UE.

Quels droits les entreprises doivent-elles activer dans le cadre du RGPD ?

Le RGPD fournit les droits suivants aux résidents de l’UE :

  • Le droit d’être informé de la manière dont leurs données personnelles sont utilisées,
  • Le droit d’accès aux données personnelles détenues par une organisation,
  • Le droit de supprimer ou de corriger des données personnelles incorrectes,
  • Le droit d’effacer des données personnelles dans certaines circonstances (parfois appelé « droit à l’oubli »).
  • Le droit de restreindre ou de s’opposer au traitement de leurs données personnelles,
  • Le droit de restreindre ou de s’opposer au traitement automatisé des données à caractère personnel, et
  • Le droit de recevoir une copie de leurs données personnelles.

Comment puis-je savoir si les données traitées par mon entreprise sont couvertes par le RGPD ? Que sont les « données personnelles » ?

Le RGPD régit la collecte, le stockage, l’utilisation et le partage des « données personnelles ». Les données personnelles sont définies très largement dans le RGPD comme toute donnée se rapportant à une personne physique identifiée ou identifiable. Il n’y a pas de distinction entre les rôles privés, publics ou professionnels d’une personne. Les données personnelles peuvent inclure :

Identité

  • Adresse personnelle
  • Adresse professionnelle
  • Numéro de téléphone
  • Numéro de téléphone portable
  • Adresse e-mail
  • Numéro de passeport
  • Carte d’identité nationale
  • Numéro de sécurité sociale (ou équivalent)
  • Permis de conduire
  • Informations physiques, physiologiques ou génétiques
  • Informations médicales
  • Identité culturelle

Données financières

  • Coordonnées bancaires / numéros de compte
  • Informations fiscales

Artefacts en ligne

  • Publications sur les réseaux sociaux
  • Adresse IP
  • Données de localisation / GPS
  • Cookies

En outre, le traitement de certaines catégories « spéciales » de données personnelles – notamment celles qui révèlent l’origine raciale ou ethnique d’une personne, ou qui concernent sa santé ou son orientation sexuelle – est soumis à des règles plus strictes que le traitement des données personnelles ordinaires.

Que sont les processeurs et les contrôleurs ?

Un « contrôleur » est une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les buts et les moyens de traitement des données à caractère personnel.

Un « processeur » est une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui traite les données personnelles pour le compte du contrôleur.

Le RGPD s’applique à la fois aux contrôleurs et aux processeurs. Les contrôleurs ne doivent utiliser que des processeurs qui prennent des mesures visant à satisfaire les exigences du RGPD. En vertu du RGPD, les transformateurs doivent assumer des tâches et des responsabilités supplémentaires en cas de non-conformité ou d’action ne faisant pas l’objet d’instructions de la part du contrôleur.

Qu’est-ce que le traitement ?

Le terme « traitement » désigne toute opération ou tout ensemble d’opérations effectuées sur des données personnelles ou sur des ensembles de données personnelles, par voie manuelle ou automatique. Il peut s’agir de la collecte, de l’enregistrement, de l’organisation, de la structuration, du stockage, de l’adaptation ou de la modification, la récupération, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou la mise à disposition, l’alignement ou la combinaison, la restriction, l’effacement ou la destruction.

Suis-je autorisé à transférer des données personnelles en dehors de l’UE ?

Oui, le transfert de données à caractère personnel en dehors de l’espace économique européen est autorisé, sous réserve que certaines conditions soient remplies pour garantir des garanties appropriées. Vous devrez peut-être mettre en place un mécanisme juridique spécifique, tel qu’un contrat, ou adhérer à un mécanisme de certification pour permettre ces transferts.

Comment le transfert de données personnelles en dehors de l’UE est-il réglementé ?

Le RGPD prévoit plusieurs mécanismes pour faciliter les transferts de données à caractère personnel en dehors de l’UE. Ces mécanismes visent à confirmer un niveau adéquat de protection ou à assurer la mise en œuvre de garanties appropriées lorsque des données à caractère personnel sont transférées vers un pays tiers. Des garanties appropriées peuvent être prévues par des clauses types de contrat. Un niveau de protection adéquat peut également être confirmé par des décisions d’adéquation telles que celle qui soutient le Bouclier de protection des données entre l’UE et les États-Unis.

Quelle est la responsabilité d’une organisation en vertu du RGPD en réponse aux violations de données personnelles ?

Le RGPD impose des obligations strictes aux processeurs et aux contrôleurs en ce qui concerne la notification des violations de données personnelles. Les processeurs de données doivent avertir le contrôleur de données d’une violation des données personnelles sans délai excessif après en avoir pris connaissance. Après avoir été informé de la violation, le contrôleur doit en informer l’autorité de protection des données concernée dans les 72 heures. Si la violation est susceptible d’entraîner un risque élevé pour les droits et les libertés des individus, les contrôleurs devront également en aviser les personnes touchées dans les meilleurs délais.

Quel peut être le montant des amendes infligées aux entreprises en cas de non-conformité ?

En cas de non-respect des exigences du RGPD, les entreprises peuvent être condamnées à une amende pouvant atteindre 20 millions d’euros ou 4 % de leur chiffre d’affaires annuel global, selon la valeur la plus élevée. Des recours individuels supplémentaires peuvent également s’appliquer.

Où puis-je en savoir plus sur le RGPD ?

Les règles et règlements du RGPD sont disponibles à l’adresse https://ec.europa.eu/info/law/law-topic/data-protection_en. En outre, l’Association internationale des professionnels de la protection de la vie privée gère des ressources complètes sur le RGPD et la protection de la vie privée en général à l’adresse https://iapp.org/resources/.  JAGGAER vous recommande également de consulter régulièrement le site Web de votre autorité nationale ou principale de protection des données, le cas échéant, pour obtenir des mises à jour et des conseils.

Conformité de JAGGAER au RGPD

Où puis-je trouver les engagements contractuels de JAGGAER en ce qui concerne le RGPD ?

Les clients peuvent trouver les engagements contractuels de JAGGAER en ce qui concerne le RGPD dans l’Addendum sur le traitement des données client, disponible ici.

Comment JAGGAER sensibilise-t-il ses employés à la protection des données personnelles et à la confidentialité ?

Les employés de JAGGAER sont informés de leurs obligations de protéger les données des clients au moment de leur embauche et sont tenus de signer un accord de confidentialité qui, entre autres obligations, leur impose de préserver la confidentialité des données des clients. En outre, JAGGAER dispense chaque année à ses employés une formation à la sécurité et à la protection de la vie privée. La formation de sensibilisation au RGPD a été ajoutée comme une exigence pour nos employés. Les employés de JAGGAER sont également tenus de reconnaître et de respecter le Code de conduite et d’éthique professionnelle de JAGGAER, qui traite spécifiquement des responsabilités et du comportement attendu en ce qui concerne la protection des données des clients.

Sur quelle base JAGGAER facilite-t-il le transfert de données à caractère personnel en dehors de l’UE ?

En tant qu’entreprise multinationale présente dans et hors de l’espace économique européen, JAGGAER est souvent amené à transférer des données entre différentes unités commerciales. JAGGAER utilise depuis longtemps les clauses types de l’UE comme base de transfert de données pour ses solutions. Les clauses types de l’UE sont des conditions standard fournies par la Commission européenne et qui peuvent être utilisées pour transférer des données en dehors de l’espace économique européen de manière conforme. JAGGAER a intégré les clauses types de l’UE dans son Addendum relatif au traitement des données.

En outre, JAGGEER est certifié en vertu du cadre du Bouclier de protection des données UE-États-Unis et Suisse-États-Unis, tel que défini par le Ministère américain du commerce, concernant la collecte, l’utilisation, le traitement et le transfert transfrontalier de données personnelles de l’UE et de la Suisse vers les États-Unis, respectivement. Dans le cadre de ces cadres de protection de la vie privée, JAGGAER est responsable du traitement des données personnelles qu’il reçoit et transfère ensuite à un tiers. JAGGAER se conforme aux principes de protection de la vie privée pour tous les transferts de données personnelles depuis l’UE et la Suisse, y compris les dispositions relatives au transfert de responsabilité. Pour en savoir plus sur ces infrastructure de Bouclier de protection des données et pour consulter la certification de JAGGAER, veuillez consulter le site https://www.privacyshield.gov/welcome.

Comment un client (en tant que contrôleur des données personnelles en vertu du RGPD) s’assure-t-il que JAGGAER (en tant que processeur des données personnelles en vertu du RGPD) dispose de garanties techniques et organisationnelles appropriées pour protéger les données personnelles du client ?

En vertu du RGPD, les contrôleurs et les transformateurs doivent mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité approprié au risque. JAGGAER s’engage à disposer de procédures et de mesures de sécurité complètes sur l’ensemble de nos plates-formes et unités commerciales, conçues pour protéger les données personnelles des clients contre (i) la destruction, la perte ou la modification accidentelles ou illégales et (ii) la divulgation ou l’accès non autorisés. En vertu du RGPD, des droits d’audit doivent être accordés aux contrôleurs de données dans leurs contrats avec les processeurs de données. L’addendum relatif au traitement des données client de JAGGAER comprend des droits d’audit au bénéfice de nos clients. Les normes et certifications de JAGGAER, y compris les certifications ISO (International Organization for Standardization) et le respect des normes SOC (Service Organization Controls) 2 de l’American Institute of public Accountants (AICPA), peuvent être utilisées par les clients pour évaluer les risques et valider la mise en place de garanties techniques et organisationnelles appropriées.

Quels sont les engagements de JAGGAER en matière de protection des données ?

Nos addenda relatifs au traitement des données, qui ont été mis à jour pour assurer la conformité au RGPD, décrivent les engagements de JAGGAER en matière de confidentialité envers nos clients et les engagements de confidentialité des sous-processeurs qui accèdent aux données personnelles de nos clients. Nos clients peuvent consulter et entrer des données dans l’Addendum de traitement des données avec JAGGAER ici. Toutes les données qu’un client ou ses utilisateurs entrent dans nos applications logicielles seront traitées conformément aux instructions du client, comme décrit dans notre addendum relatif au traitement des données.

Comment JAGGAER s’assure-t-il que les sous-processeurs engagés par JAGGAER sont conformes au RGPD, et notamment qu’ils disposent de garanties techniques et organisationnelles appropriées pour protéger les données personnelles des clients ?

Bien que JAGGAER et ses filiales conduisent directement la majorité des activités de traitement de données nécessaires à la fourniture des applications et services logiciels de JAGGAER, nous faisons appel à certains prestataires de services tiers pour nous aider à proposer nos offres. Chaque prestataire de services passe par un processus de sélection rigoureux pour s’assurer qu’il dispose de l’expertise technique requise et qu’il peut fournir le niveau approprié de sécurité et de confidentialité. Les prestataires de services qui traitent les données pour le compte de JAGGAER sont tenus de conclure avec JAGGAER des addenda relatifs au traitement des données afin de faire en sorte qu’ils soient soumis au même niveau de protection que confèrent les accords entre JAGGAER et ses clients et qu’ils soient conformes au RGPD.

Quels sont les sous-processeurs utilisés par JAGGAER ?

Une liste des prestataires de services de JAGGAER qui peuvent traiter les données personnelles des clients fournies par les clients à l’aide de nos applications logicielles (« sous-processeurs ») est disponible ici. Les clients seront informés de l’arrivée de tout nouveau sous-processeur et auront un droit d’opposition, comme l’exige le RGPD.

Comment JAGGAER permet-il aux contrôleurs de garantir les droits des personnes concernées par les données ?

Les clients peuvent utiliser les droits administratifs et les fonctionnalités disponibles dans les applications logicielles de JAGGAER pour faciliter l’accès, la rectification, la restriction du traitement ou la suppression des données qu’eux-mêmes ou leurs utilisateurs entrent dans nos applications logicielles, sous réserve que JAGGAER conserve les données utilisateur requises ou autorisées par la loi en vigueur à des fins d’archivage ou de conservation des documents.

Quels engagements contractuels et opérationnels JAGGAER prend-il pour s’assurer que les clients sont rapidement informés de tout incident impliquant des données personnelles, conformément au RGPD ?

JAGGAER fut l’un des premiers fournisseurs de solutions de gestion des dépenses dans le cloud. À ce titre, JAGGAER s’engage dans ses contrats clients depuis environ vingt ans en matière de notification d’incident. JAGGAER gère les opérations de sécurité des données qui garantissent un temps de réponse respectueux des délais imposés par le RGPD.

Quelle expertise JAGGAER apporte-t-il en matière de confidentialité et de protection des données ?

JAGGAER emploie des professionnels de la sécurité en Europe et aux États-Unis, qui comptent parmi les plus grands experts mondiaux en matière de sécurité des informations, des applications et des réseaux. Cette équipe est chargée de gérer nos programmes de sécurité, de développer des processus d’examen de la sécurité, de créer une infrastructure de sécurité et de mettre en œuvre nos politiques de sécurité et de confidentialité.

En outre, JAGGAER emploie une équipe de confidentialité composée de professionnels expérimentés aux États-Unis et en Europe. JAGGAER collabore également avec des experts en matière de respect de la vie privée et de conformité dans le monde entier, notamment notre partenaire juridique en matière de confidentialité, K&L Gates LLP, dont l’UE a consulté les avocats pour élaborer le règlement général européen sur la protection des données (RGPD). Notre partenaire juridique en matière de conformité, Baker & McKenzie LLP, est régulièrement classé comme le cabinet d’avocats le plus solide au monde par l’Acritas Global Elite Law Firm Brand Index. Notre équipe de confidentialité et de conformité est chargée de gérer les programmes de confidentialité et de conformité de JAGGAER, de mettre en œuvre nos politiques de confidentialité et de s’engager régulièrement auprès des clients pour nous assurer que nous respectons leurs besoins en matière de confidentialité et de conformité.

À qui un client ou une personne concernée par des données peut-il/elle adresser des questions ou des commentaires au sujet des données personnelles gérées par JAGGAER, du RGPD ou de la confidentialité en général ?

Les clients et les personnes concernées peuvent contacter l’équipe JAGGAER chargée de la confidentialité des données, dans l’UE ou aux États-Unis, via le portail de questions sur la confidentialité des données. En outre, les clients et les personnes concernées peuvent contacter directement le responsable de la protection des données à l’adresse DPO@jaggaer.com.