RGPD : ce que vous devez savoir en tant que client de Combell
Le Règlement Général sur la Protection des Données (RGPD), également appelé General Data Protection Regulation (GDPR) en anglais, est lourd de conséquences. Mais que signifie ce règlement européen pour vos rapports avec Combell?
Principes généraux du RGPD/GDPR
Vous n’avez certainement pas pu passer à côté au cours de ces derniers mois : presque partout, on a pu lire que, dès le 25 mai 2018, un important règlement européen entrera en vigueur, à savoir le Règlement Général sur la Protection des Données (RGPD) ou General Data Protection Regulation (GDPR). Entre-temps, vous connaissez probablement aussi ses principaux points :
- Les mêmes règles sont valables dans toute l’UE ; si des données de citoyens de l’UE sont traitées par des entreprises en dehors de l’UE, le RGPD est également applicable.
- La définition des « données personnelles » est élargie, de manière à inclure des types de données tels que des adresses IP et des données sensibles (comme p. ex. des données relatives à la santé ou des informations sur l’identité culturelle).
- La collecte de données est soumise à des règles très strictes. Par conséquent, vous ne pouvez pas acheter ou créer des listes de données comme bon vous semble ; l’utilisateur doit fournir son consentement de manière explicite, a le droit de consulter ses données, et peut exiger qu’elles soient supprimées.
- Alors que les infractions étaient autrefois généralement passées sous silence, de lourdes amendes seront infligées. Si les données collectées ne sont pas gérées correctement, si une grave fuite de données n’est pas signalée, ou si l’entreprise n’effectue aucune analyse des risques, l’amende peut grimper jusqu’à 2 % du chiffre d’affaires annuel. Dans les pires cas d’infraction, ce montant peut atteindre pas moins de 4 % du chiffre d’affaires ou d'un montant de 20 millions d’euros, dependant lequel est le plus haut.
Nouvelles définitions : Sous-traitant, Responsable du traitement des données et Personnes concernées par les données dans le cadre du RGPD/GDPR
Il n’est pas simple d’expliquer la manière dont ce nouveau règlement influence la relation entre Combell et vous. Tant Combell même que votre entreprise (en tant que cliente de Combell) jouent en effet tour à tour différents rôles, définis dans ce règlement.
- Responsable du traitement des données = le propriétaire des données ; la personne qui collecte les données. En tant que client de Combell, vous collectez p. ex. le nom, l’adresse et les coordonnées de paiement de vos utilisateurs, ce qui fait de vous le Responsable du traitement.
- Sous-traitant = l’organisation où les données sont stockées, ou qui les traite, selon une méthode définie par le Responsable du traitement. En tant que client de Combell, vous nous demandez de faire une sauvegarde des données de vos utilisateurs, et dans ce cas, c’est Combell qui devient le sous-traitant. Même si le Sous-traitant confie le traitement à un tiers (le sous-traitant ultérieur), le Sous-traitant reste responsable de l’application correcte du RGPD
- Personnes concernées par les données = les personnes dont des informations personnelles sont traitées.
Les obligations du client de Combell en tant que Responsable du traitement des données dans le cadre du RGPD/GDPR
La première chose que vous devez faire, c’est vérifier si le traitement des données est autorisé. Cela signifie que la collecte et le traitement ont lieu parce que
- cela fait partie des obligations résultant d’un contrat ;
- vous avez reçu le consentement explicite de la part de la personne concernée par les données (pas d’opt-out !) ;
- vous respectez ainsi l’obligation légale ;
- cela est pertinent pour la sécurité personnelle ou la santé de la personne concernée par les données ;
- cela est dans l’intérêt général ou dans votre intérêt légitime (p. ex. pour pouvoir identifier des personnes responsables de faits de piratage, fraude, etc.)
Votre deuxième obligation consiste à veiller à ce que les données soient suffisamment protégées. Si vous voulez agir conformément à la norme ISO 27001, il vous faudra travailler avec un Information Security Board et/ou un Security Officer, de manière à pouvoir effectuer une analyse des risques.
Enfin, vous devez immédiatement signaler toute violation. Dans ce cadre, sachez que :
- Une violation correspond à toute violation de la sécurité (fuite, piratage, etc.) entraînant la destruction, la perte ou l’altération des données, ainsi que leur divulgation non autorisée ou leur consultation par des personnes non autorisées.
- Vous devez signaler la violation
- aux personnes concernées par les données (vos clients)
- aux autorités
- pour la Belgique : le site web de la Commission de la protection de la vie privée
- pour les Pays-Bas : notification à l’Autorité néerlandaise de protection des données
- Cette notification doit être faite dans les 72 h. Le RGPD/GDRP tient compte du fait que, durant cette période, vous ne disposez probablement pas de toutes les informations sur l’incident, mais demande par contre que votre première notification contienne déjà les informations suivantes :
- la nature de la violation
- le nombre de personnes concernées par les données qui courent un risque potentiel
- le risque que la violation implique pour les personnes concernées
- les mesures que vous avez déjà prises au moment de votre notification
- les mesures que vous vous comptez prendre ultérieurement
« À partir du 25 mai 2018, toute violation de données doit être notifiée dans les 72 h sous peine de (lourde) amende. Avec notre aide, déterminez au préalable les séries de données dont vous êtes responsable. » (Veerle van Hecke, Responsable du traitement des données dans le cadre du RGPD/GDPR chez Combell)
Les obligations de Combell en tant que Sous-traitant dans le cadre du RGPD/GDPR
Combell est le sous-traitant des données que vous avez collectées en tant que Responsable du traitement. Par conséquent, nous avons plusieurs obligations, les principales étant de :
- conserver les fichiers journaux des traitements que nous effectuons de vos données, comme la réalisation de sauvegardes
- vous notifier (à vous, en tant que Responsable du traitement des données) au sujet de toute violation de vos séries de données qui se trouvent sur une des plateformes gérées par nos soins, et vous aider à rédiger la notification aux Personnes concernées (les limites de cette assistance peuvent être définies dans le pack de services que vous achetez)
- vérifier si les sous-traitants ultérieurs (les tiers que nous engageons pour assurer le traitement des données) travaillent conformément aux exigences du RGPD/GDPR
« Mettez-vous d’accord au préalable avec Combell sur la répartition des rôles (Sous-traitant ou Responsable du traitement dans le cadre du RGPD) lorsqu’il est question de données hébergées sur une plateforme gérée par Combell. » (Frederik Poelman, Managing Director chez Combell)
Les clients de Combell en tant que Personnes concernées dans le cadre du RGPD/GDPR
Enfin, il faut aussi tenir compte du fait que Combell gère des informations personnelles appartenant à ses clients (dont vous faites partie). Il peut notamment s’agir des coordonnées des contacts (techniques ou autres) au sein de votre entreprise. Dans ce rôle, en tant que Personne concernée, vous avez les droits listés ci-dessous, et il est de notre devoir en tant que Responsable du traitement des données et Sous-traitant d’y réagir tel que décrit ci-dessous :
- Vous avez le droit d’exiger que nous supprimions vos données, p. ex. lorsque le but pour lequel les données avaient été collectées à l’origine n’existe plus. Nous devons dans ce cas non seulement supprimer les données chez nous, mais aussi demander à tous les éventuels sous-traitants qu’ils suppriment eux aussi les données de leur côté.
- Vous avez le droit de demander des informations concernant ces données, comme p. ex. la durée de conservation de vos données, la raison pour laquelle nous les collectons, ainsi que les informations sur les personnes/organisations qui ont accès à vos données.
- Vous avez le droit, à intervalles raisonnables, de consulter vos données et éventuellement de les faire mettre à jour. Vous avez en outre le droit de transférer vos données chez un autre Sous-traitant. Selon les circonstances, Combell vous fournira un accès sécurisé à vos données ou vous transmettra une copie de ces dernières dans un format conforme aux pratiques de l’industrie, comme p. ex. un fichier csv.
N’oubliez pas : en cas de violation des données, le RGPD/GDPR vous oblige à envoyer une notification au sujet de l’incident dans les 72 h après en avoir pris connaissance. La mesure dans laquelle Combell peut vous aider est déterminée par les mesures technologiques et organisationnelles liées à votre pack de services. Discutez-en avec votre account manager !
Pour tout commentaire ou des questions concernant votre situation spécifique (p. ex. une solution de cloud privé), n’hésitez pas à nous contacter.