Soyez prêt pour le GDPR avec Trackforce Valiant

A propos du GDPR

Qu’est-ce que le GDPR ?

Le GDPR est une nouvelle loi complète sur la protection des données (en vigueur le 25 mai 2018) dans l’UE qui renforce la protection des données personnelles à la lumière des développements technologiques rapides, de la mondialisation accrue et des flux internationaux plus complexes de données personnelles. Elle met à jour et remplace toutes les lois nationales sur la protection des données (issues de la directive européenne de 1995 sur la protection des données : DPD) actuellement en place par un ensemble unique de règles.

Qu’en était-il avant le GDPR ?

Les principaux changements sont les suivants : Des droits étendus en matière de confidentialité des données pour les individus de l’UE, la notification des violations de données et des exigences de sécurité supplémentaires pour les organisations, ainsi que des exigences en matière de profilage et de suivi des clients. Le GDPR comprend également des règles d’entreprise contraignantes pour les organisations afin de légaliser les transferts de données personnelles en dehors de l’UE et une amende de 4% de revenu global pour les organisations qui ne respectent pas les obligations de conformité du GDPR. Dans l’ensemble, le GDPR fournit un point central d’application en exigeant que les entreprises travaillent avec une autorité de surveillance principale pour les questions de protection des données transfrontalières.

Le GDPR s’applique-t-il à mon entreprise ?

Si vous traitez des données personnelles dans le cadre d’une organisation établie dans l’UE, le GDPR s’appliquera à vous, que vous traitiez ou non des données personnelles dans l’UE. ” Traitement ” désigne toute opération effectuée sur des données personnelles, telle que la collecte, le stockage, le transfert, la diffusion ou l’effacement.

Si vous n’êtes pas établi dans l’UE, le GDPR s’applique à vous si vous proposez des biens ou des services (payants ou gratuits) à des personnes concernées de l’UE ou si vous surveillez le comportement de ces personnes au sein de l’UE. La surveillance peut aller de la mise en place de cookies sur un site web au suivi du comportement de navigation des personnes concernées, en passant par des activités de surveillance de haute technologie.

En vertu de la loi européenne sur la protection des données, l’organisation qui traite les données personnelles est divisée en ” Responsables du traitement “, ou les entités qui contrôlent les données personnelles, et les ” Processeurs “, les entités qui traitent les données personnelles uniquement sur les instructions des Responsables du traitement. Le GDPR s’applique à la fois aux Contrôleurs et aux Processeurs.

Avis de non-responsabilité

Cette lettre n’est ni un magnum opus sur la confidentialité des données de l’UE, ni un conseil juridique que votre entreprise pourrait utiliser pour se conformer aux lois européennes sur la confidentialité des données telles que le GDPR. Par conséquent, vous ne pouvez pas vous appuyer sur ce document comme un conseil juridique, ni comme une recommandation d’une compréhension juridique particulière.

Voici une liste de questions pour évaluer votre niveau de conformité avec le GDPR :

• “Quelles sont les données personnelles que nous collectons/stockons ?”
• “Transférons-nous les données personnelles en dehors de l’UE et si oui, avons-nous mis en place des protections adéquates ?”
• “Sommes-nous en train de collecter ou de traiter des catégories particulières de données personnelles, telles que les données sensibles ?
• Des “données personnelles”, des données sur les enfants, des données biométriques ou génétiques, etc. et si oui, respectons-nous les normes pour les collecter, les traiter et les stocker ?”
• ” Est-ce que nous les gardons en sécurité en utilisant un niveau de sécurité adapté au risque ? Par exemple, le cryptage ou la pseudonymisation seront-ils nécessaires pour protéger les données personnelles que nous détenons ? Limitons-nous l’accès pour nous assurer qu’elles ne sont utilisées qu’aux fins prévues ?”
• “Nous assurons-nous de ne pas les conserver plus longtemps que nécessaire et de les tenir à jour ?”
• ” L’avons-nous obtenu de manière équitable ? Avons-nous les consentements nécessaires requis et les personnes concernées ont-elles été informées de la finalité spécifique pour laquelle nous allons utiliser leurs données ? Avons-nous été clairs et sans ambiguïté sur cette finalité et ont-elles été informées de leur droit de retirer leur consentement à tout moment ?”

Qu’est-ce qui va changer avec le GDPR ?

Consentement

Chaque fois qu’une personne concernée est sur le point de communiquer ses informations personnelles, le responsable du traitement (généralement une entreprise) doit s’assurer que la personne concernée a donné son consentement. Le GDPR renforce les normes de divulgation lors de l’obtention du consentement, qui doit être “librement donné, spécifique, éclairé et sans ambiguïté”, les responsables du traitement devant utiliser un langage juridique “clair et simple” qui se distingue clairement des autres questions.” Les contrôleurs seront également tenus de fournir des preuves que leurs processus sont conformes et suivis dans chaque cas. Auparavant, en vertu de la DPD, le consentement pouvait être déduit d’une action ou d’une inaction dans des circonstances où l’action ou l’inaction signifiait clairement le consentement. Ainsi, la directive laissait ouverte la possibilité d’un mécanisme d'”opt-out”. Toutefois, cela changera en vertu du GDPR qui exige que la personne concernée signale son accord par “une déclaration ou une action affirmative claire”.

Pour l’essentiel, votre client ne peut être contraint de donner son consentement, ni ignorer qu’il consent au traitement de ses données personnelles. Il doit également savoir exactement ce à quoi il consent et être informé à l’avance de son droit de retirer ce consentement. L’obtention du consentement nécessite une indication positive de l’accord – il ne peut être déduit du silence, de cases pré-cochées ou de l’inactivité. Cela signifie qu’il sera de plus en plus important d’informer l’utilisateur au cours de l’opt-in à l’avenir.

Nouveaux droits pour les particuliers

Le règlement prévoit également deux nouveaux droits pour les personnes concernées : un “droit à l’oubli”, qui oblige les responsables du traitement à avertir les destinataires en aval des demandes de suppression, et un “droit à la portabilité des données”, qui permet aux personnes concernées de demander une copie de leurs données dans un format commun. Grâce à ces deux droits, il sera désormais plus facile pour les utilisateurs de demander que toute information stockée soit supprimée ou que les informations qui ont été collectées leur soient communiquées.

Demandes d’accès

Les personnes concernées ont toujours eu le droit de demander l’accès à leurs données. Mais le GDPR renforce ces droits. Dans la plupart des cas, vous ne pourrez pas facturer le traitement d’une demande d’accès, sauf si vous pouvez démontrer que le coût est excessif. Le délai de traitement d’une demande d’accès sera également ramené à 30 jours. Dans certains cas, les organisations peuvent refuser d’accéder à une demande d’accès, par exemple lorsque la demande est jugée manifestement infondée ou excessive. Toutefois, les organisations devront mettre en place des politiques et des procédures de refus claires et démontrer pourquoi la demande répond à ces critères.

• Obtenir l’adhésion et constituer une équipe
• Sensibiliser les dirigeants de l’organisation à l’importance de la conformité au GDPR.
• Obtenir le soutien de la direction pour les ressources en personnel et les investissements financiers nécessaires.
• Choisissez une personne chargée de diriger les efforts de mise en conformité avec le GDPR.
• Mettre en place un comité de pilotage composé de responsables fonctionnels clés
• Identifier les champions de la protection de la vie privée dans toute l’organisation

• Examiner les efforts existants en matière de confidentialité et de sécurité pour identifier les besoins
• Identifiez tous les systèmes dans lesquels l’organisation stocke des données personnelles, et créez une
• inventaire des données
• Créer un registre des activités de traitement des données et réaliser un impact sur la vie privée.
• évaluation pour chaque activité à haut risque

• Veiller à ce que des avis de confidentialité soient présents partout où des données personnelles sont collectées.
• Mettre en place des contrôles pour limiter l’utilisation des données par l’organisation aux fins pour lesquelles elles ont été collectées.
• il a collecté les données
• Établir des mécanismes pour gérer les préférences de consentement des personnes concernées
• mettre en œuvre des mesures de sécurité administratives, physiques et technologiques appropriées
• et les processus permettant de détecter et de réagir aux violations de la sécurité
• Établir des procédures pour répondre aux demandes d’accès des personnes concernées,
• rectification, objection, restriction, portabilité et suppression (droit à l’oubli)
• conclure des contrats avec des sociétés affiliées et des vendeurs qui collectent ou reçoivent des données à caractère personnel
• Établir un processus d’évaluation des incidences sur la vie privée
• Administrer la formation de sensibilisation à la confidentialité et à la sécurité des employés et des fournisseurs.

• Compilez des copies des avis de confidentialité et des formulaires de consentement, de l’inventaire des données et du registre des activités de traitement des données, des politiques et procédures écrites, des supports de formation, des accords de transfert de données intra-entreprise et des contrats avec les fournisseurs.
• Si nécessaire, nommez un délégué à la protection des données et identifiez l’autorité de contrôle de l’UE appropriée.
• Effectuer des évaluations périodiques des risques

Le parcours de Trackforce vers la conformité au GDPR

Trackforce s’engage à aider ses clients à se conformer au GDPR. Nous avons analysé de près les exigences du GDPR et nous nous efforçons d’apporter des améliorations à nos produits, nos contrats et notre documentation afin de soutenir la conformité au GDPR.

Feuille de route des produits

Voici comment configurer vos paramètres GDPR :

• Allez dans paramètres > paramètres du compte
• Cliquez sur les paramètres GDPR
• Pour chaque catégorie, sélectionnez la période générale de conservation des données (la période la plus longue possible apparaîtra par défaut).
• Vous pouvez également définir des périodes de rétention différentes pour différents clients en utilisant l’option “set-up exceptions for customers”.

De votre côté, après la fin de la relation commerciale avec un client, vous pouvez conserver ses données personnelles jusqu’à 5 ans et ses médias personnels (photos et vidéos) jusqu’à 3 mois.

Portabilité des données

Vous pouvez utiliser la plateforme Trackforce pour vous aider à honorer les demandes de vos clients concernant l’exportation de leurs données. Les données peuvent être extraites sur demande.

Logiciel de gestion

Trackforce a intégré la sécurité dans chaque couche de la plateforme. La couche infrastructure comprend la réplication, la sauvegarde, le cryptage et la reprise après sinistre. Les services réseau disposent du cryptage en transit et de la détection avancée des menaces avec IPS/IDS. Nos services d’application mettent en œuvre l’identité, l’authentification à deux facteurs et les autorisations d’utilisateur.

Restriction du traitement

Trackforce améliore ses produits afin que les contrôleurs ou les processeurs puissent techniquement restreindre l’utilisation des données personnelles (par exemple en limitant l’accès aux rapports ou en attribuant les données personnelles d’une personne concernée à des sites de compte spécifiques). Une clause de non-responsabilité sera également imprimée sur tout PDF ou courriel envoyé par l’application, demandant la suppression du document à la fin de la période de conservation (la date exacte sera indiquée).

Notre documentation juridique

Responsabilité/Transparence

À l’approche du mois de mai 2018, Trackforce a nommé un délégué à la protection des données (DPO) et se concentre sur les efforts de conformité au GDPR. Notre équipe juridique est occupée à s’assurer que notre documentation juridique (à savoir nos Conditions de service client, notre Accord de traitement des données et notre Politique de confidentialité) sera mise à jour pour refléter tout changement de produit et pour inclure les dispositions obligatoires relatives au Processeur requises par l’article 28 du GDPR.

Nous avons également créé l’adresse électronique dpo@trackforce.com pour toutes les questions et demandes relatives au GDPR.

Consentement

Tout au long de nos mesures organisationnelles et de notre documentation juridique (à savoir nos conditions de service client, notre accord de traitement des données et notre politique de confidentialité), Trackforce s’assure que la personne concernée a donné son consentement tel que défini par le GDPR, tant au niveau de la collecte que du traitement.

FAQ

Qui dois-je contacter pour obtenir mes données personnelles ?

Vous devez envoyer un courriel à notre DPD dpo@trackforce.com pour toutes les questions relatives au GDPR.

Quels documents dois-je fournir pour obtenir mes données personnelles ?

Vous devez fournir tout document prouvant votre identité.

Est-il possible de modifier ma configuration GDPR une fois créée ?

Oui, à tout moment.

Combien de temps conservez-vous les données des clients ?

Chaque client définit sa période de conservation préférée dans les limites de la loi GDPR.

Que dois-je faire si un client veut supprimer ses données plus rapidement que les autres ?

Vous pouvez créer des exceptions sur la page de configuration

Est-il possible de récupérer mes données une fois anonymisées ?

L’anonymisation, telle que définie par le GDPR, est irréversible.

Quel type de données personnelles recueillez-vous ?

Cela dépend de votre société de sécurité, veuillez vous adresser à elle ou à son DPD s’il en existe un.

Quel type de données de votre plateforme est soumis à la conformité au GDPR ?

Médias avec données personnelles, historique GPS, données des visiteurs, données des employés, champs de données personnelles dans les modèles d’activité (il appartient à chaque client de définir les données qu’il doit protéger).

Que se passe-t-il si je dois documenter un incident grave auprès des compagnies d’assurance ou de la justice ?

Il est de la responsabilité du client de télécharger tout rapport requis avant la fin de la période de conservation. À l’expiration de cette période, Trackforce ne sera pas en mesure de récupérer vos données.

Que se passe-t-il si un courriel est envoyé avec mes informations (ou celles de mes employés) ?

Une clause de non-responsabilité sera imprimée dans tout PDF ou courriel envoyé par l’application. Il incombe au destinataire du document de se conformer aux exigences du GDPR.

Une filiale de Trackforce peut-elle accéder aux données d’une autre filiale dans un autre pays ?

Non, les données personnelles sont cloisonnées et segmentées d’une filiale à l’autre. Chaque filiale ne peut accéder qu’à ses propres données.

Trackforce peut-il obliger ses sous-traitants à se conformer au GDPR ?

Non ; cependant, à compter du 25 mai 2018, Trackforce ne fera appel qu’à des sous-traitants présentant des garanties suffisantes quant au respect du GDPR.

Que se passera-t-il si Trackforce développe à l’avenir de nouvelles solutions logicielles non incluses dans la conformité actuelle avec le GDPR ?

Afin de rester conforme au GDPR, Trackforce réalisera une évaluation des incidences sur la vie privée (PIA) pour tout lancement de nouveau produit.