Protection des données personnelles

Contexte

En 2016, la Commission européenne a approuvé et adopté le nouveau Règlement général sur la protection des données (RGPD, en anglais : General Data Protection Regulation, GDPR).

Le RGPD vise à renforcer la sécurité et la protection des données personnelles dans l’UE, et à harmoniser les législations relatives à la protection des données au sein de l’UE. Le RGPD remplacera l’actuelle Directive de l’UE sur la protection des données personnelles ainsi que toutes les lois locales en lien avec celle-ci.

Ce règlement permet de protéger les droits fondamentaux des citoyens européens dans le domaine de la protection de la vie privée et des données à caractère personnel. Il introduit de solides exigences qui permettront d’offrir de meilleures garanties en termes de protection des données, de sécurité et de conformité. En outre, il incite les entreprises du secteur à mettre en place des contrôles rigoureux.

Tous les services SOFACTO seront conformes au règlement RGPD lorsque celui-ci entrera en vigueur, le 25 mai 2018.

A qui s’applique le RGPD ?

Le RGPD s’applique à toutes les organisations établies dans l’UE et aux organisations, établies ou non dans l’UE, qui traitent les données personnelles des personnes concernées dans le cadre de l’offre de biens ou de services aux personnes concernées dans l’UE ou du suivi du comportement qui a lieu au sein de l’UE. Par « données à caractère personnel », on entend toute information liée à une personne physique identifiée ou identifiable.

Qu’est ce qui change ?

Les changements majeurs concernent les points suivants :

 

– Droits étendus pour les résidents de l’Union européenne : le RGPD fournit des droits étendus pour les individus de l’Union européenne comme l’effacement, le droit à l’oubli, la restriction et la portabilité de données personnelles.

 

– Obligations de conformité : le RGPD exige que les organisations mettent en œuvre des politiques appropriées et des protocoles de sécurité ; procèdent à des études d’impact sur la vie privée ; conservent un registre des traitements contenant des fiches détaillées sur les traitements réalisés sur les données personnelles et obtiennent des accords écrits propriétaires des données.

 

– Obligation de notification de fuite de données : le RGPD exige que les organisations notifient tout incident sur les données personnelles aux autorités de protection de données, et dans certaines circonstances, la nature des données affectées.

 

– Nouvelles exigences pour le « profilage » des personnes : le RGPD instaure des obligations supplémentaires pour les organisations qui ont recours à des techniques de profilage ou de contrôle du comportement d’individus.

 

– Localisation des données : dans le cas où l’organisation souhaiterait conserver les données personnelles hors du territoire de l’Union Européenne, le RGPD le permet exceptionnellement moyennant la signature de BCR (Binding Corporate Rules).

 

– Sanctions : dans le cadre du RGPD, le montant des sanctions infligées par les autorités pour non-respect des obligations peut atteindre 20 millions € ou 4 % du chiffre d’affaires annuel mondial d’une entreprise (maximum des 2 seuils). Le montant est établi en fonction de la gravité de l’infraction et des conséquences.

 

– Centralisation : le RGPD fournit le cadre central pour les organisations opérant dans plusieurs États membres, en exigeant des entreprises de mettre en œuvre une autorité principale de supervision des questions de protection de données transfrontalières.

Définitions

Qu’est ce qu’une donnée personnelle ?

Selon l’article 2 du règlement : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres …. ».

Qu’est ce que le principe d’accountability ?

Le principe d’accountability est l’un des principes fondamentaux du RGPD. Il désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.

Ce principe impose aux entreprises de fournir aux autorités de contrôle (en France, la Commission Nationale Informatique et Libertés) la documentation établissant la conformité au Règlement.

Dès lors, les traitements courants devront figurer dans un registre et n’auront donc plus à être déclarés à la CNIL.

Qu’est ce qu’un DPO ?

La nomination d’un DPO (Data Protection Officer, en français : Délégué à la protection des données), obligatoire est l’une des mesures majeures du Règlement. Il prend la suite du Correspondant Informatique et Libertés mais ses attributions sont plus larges. Le DPO, qui entrera en fonctions en mai 2018 pilote en continu la conformité de son organisation et sa nomination doit répondre à des conditions d’intégrité et d’éthique professionnelle.

L’Engagement RGPD de Salesforce.com

Historique de la mise en conformité Salesforce

En octobre 2015, dans les heures qui ont suivi la décision de la Cour européenne de justice, l’UE-États-Unis a été invalidée. Safe Harbor, Salesforce a offert à tous ses clients un addendum de traitement de données leur permettant de continuer à transférer des données à Salesforce sans interruption.
– En novembre 2015, Salesforce est devenue la première société de logiciels parmi les 10 premières à obtenir l’approbation de règles d’entreprise contraignantes pour les processeurs des autorités européennes de protection des données.
– En août 2016, Salesforce est devenue l’une des premières entreprises à certifier la conformité aux normes EU-US. Cadre de bouclier de confidentialité.

Ressources

– Site web de ressources GDPR
– Nouveau module Trailhead: Salesforce a lancé un module Trailhead intitulé «Principes de base du droit de la vie privée de l’UE», qui fournit un aperçu détaillé des principes clés du GDPR, ainsi que des actions suggérées pour les organisations.
– Addendum au traitement des données mis à jour qui contient des dispositions révisées ou supplémentaires pour aider les clients à se conformer au RGPD.
– Documentation de confiance et de conformité des Services Salesforce (Sales Cloud, Service Cloud, Community Cloud, Chatter, Force.com, Site.com, and Database.com) along with Financial Services Cloud, Health Cloud, IoT Explorer, Salesforce Quote-to-Cash, and Work.com).

 

Cet article fournit de la documentation sur :

  • L’architecture des audits et certifications relatifs à la sécurité et à la protection de la vie privée, ainsi que les contrôles administratifs, techniques et physiques applicables à ces services.
  • Caractéristiques, restrictions et avis associés à:

– Informations provenant de tiers ou de sources publiques et fournies aux clients via ces services.
– Une fonctionnalité qui permet aux clients d’interagir avec les médias sociaux et d’autres sites Web.
– Applications logicielles de bureau et d’appareils mobiles fournies en relation avec ces
services.

Ces ressources viennent compléter le solide programme de sécurité et de confidentialité de Salesforce, qui répond aux normes les plus élevées de l’industrie.

Transfert des données hors europe avec Salesforce

Suite à la délibération de la CNIL du 18 février 2016 (Legifrance), Salesforce, après vérification de ses BCR (Binding Corporate Rules), offre un niveau de protection suffisant pour les données personnelles transférées hors de l’union européenne. Il est donc légal que les données enregistrées dans le CRM puissent être transférées.

L’addendum au traitement des données de Salesforce donne à nos clients l’assurance contractuelle que Salesforce dispose de plusieurs mécanismes juridiques pour aider nos clients à valider les transferts de données personnelles de l’EEE au service de Salesforce.

Nous vous invitons à télécharger cet addendum et à le signer.

Commencez à taper et appuyez sur Enter pour rechercher