Written by

Voté par le parlement européen en 2016, le nouveau règlement général sur la protection des données (RGPD) devient applicable à compter du 25 mai 2018. Ce nouveau règlement est un changement majeur dans la législation liée à la protection des données personnelles, et remplace la directive européenne de protection des données (Directive 95/46/EC) ainsi que les lois locales relatives aux données personnelles.

En tant qu’hébergeur / infogéreur, nous sommes attentifs aux termes de ce règlement. Nous nous assurons bien entendu que nos services seront en conformité lors de la mise en application. Comme nous l’avons déjà évoqué, nous croyons fermement dans les valeurs de la vie privée, et nous soutenons toutes les initiatives visant à améliorer le respect de ce droit fondamental pour l’ensemble des individus.

Pour que nos utilisateurs soient informés de ce qu’est le RGPD, et comment il s’applique aux services d’alwaysdata, voici la description de nos actions sur ce sujet.

Lexique

Le RGPD introduit plusieurs notions qu’il peut être nécessaire d’expliquer. Voici un lexique des termes rencontrés dans le règlement, nos conditions générales d’utilisation (CGU), ainsi que dans cet article.

Donnée personnelle
Définit toute donnée relative à un individu, identifié ou non, qui le désigne spécifiquement. Il peut s’agir aussi bien de données à caractère civil (date de naissance, adresse, etc.) que de données techniques (IP, coordonnées GPS, etc.)
Responsable de traitements
Le responsable de traitement est la personne physique ou morale, service public, agence gouvernementale, ou autre, qui définit dans quel contexte les données personnelles doivent être exploitées. Il est celui qui définit quoi faire des données.
Le sous-traitant
Le sous-traitant est l’entité chargée de traiter la donnée sous la gouvernance du responsable de traitements.
DPD
Le délégué à la protection des données est la personne qui, au sein de l’entreprise, s’assure que les processus de traitement sont conformes aux exigences des lois et réglementations européennes en vigueur. Le DPD agit en toute indépendance du reste des opérations de la société qui l’emploie.
Sous-traitance
Tout partenaire de sous-traitance est autorisé, dans le cadre du processus de traitement des données à caractère personnel, à accéder à une partie des données transmises par le responsable de traitements ou un de ses sous-traitants. Ces partenaires doivent être en conformité avec le RGPD et le client doit avoir été informé des données qui lui sont transmises et dans quel but.

Que contient le RGPD ?

Le règlement européen sur la protection des données (RGPD) est le nouveau texte législatif européen remplaçant tout texte précédent sur les données à caractère personnel sur tout le territoire européen. Il n’introduit pas de changement majeur, mais vise à harmoniser et à renforcer la protection des données personnelles des citoyens européens. Il s’applique à l’ensemble du monde et à l’ensemble des structures dès lors qu’elles sont situées sur le territoire européen, ou qu’un de ses sous-traitants est situé sur le territoire européen, ou qu’elle collecte et manipule des données de citoyens européens. Il entre en application à compter du 25 mai 2018.

Il introduit principalement les notions suivantes :

Protection

Tout usage de donnée à caractère personnel est prohibé tant qu’il n’est pas explicitement autorisé par le propriétaire de la donnée concernée.

Limitation du périmètre de traitement

Les sociétés, agences, services publics, et autres peuvent collecter des données à caractère personnel pour des usages précis et documentés uniquement. L’usage qui en est fait doit être clairement indiqué, et tout usage futur hors du cadre spécifiquement défini est interdit.

Minimisation de la donnée collectée

Les organismes collectant des données à caractère personnel doivent le faire en les limitant au strict minimum nécessaire. Cela signifie notamment que toute collecte aveugle à des fins de traitement futur non encore défini est strictement interdite.

Transparence

Le processus de traitement de la donnée doit être compréhensible par n’importe quelle personne concernée. Les sociétés procédant à ce traitement doivent fournir des explications claires et détaillées sur le type de données utilisées, et dans quel but.

Confidentialité

Les sociétés doivent fournir les preuves de leurs actions techniques engagées pour fournir la protection et la confidentialité des données à caractère personnel de leurs clients et de leurs employés. Cela signifie notamment que les données doivent être protégées contre les accès frauduleux, les modifications, le vol, la destruction, etc.

À qui s’applique le RGPD ?

Le RGPD s’applique à toute personne morale opérant sur le sol européen, ou traitant des données à caractère personnel de citoyens européens.

Quel rôle s’applique à alwaysdata dans le cadre du RGPD ?

alwaysdata peut être considéré à la fois comme un sous-traitant et comme un responsable de traitements. Dans le premier cas parce que nous sous-traitons les données de nos clients en les hébergeant, sous leur contrôle ; dans l’autre cas parce que nous stockons et utilisons des données de nos clients dans nos systèmes, pour tout traitement relatif à la facturation.

Les responsabilités d’alwaysdata en tant que sous-traitant

  • Nous n’accédons et ne traitons aucune donnée hors du consentement explique du responsable de traitement (nos clients).
  • Les données sont conservées sur le territoire européen, à moins que nos clients ne choisissent explicitement de localiser leurs données en dehors du territoire européen. Cette localisation pourra évoluer dans le futur, toujours sous le contrôle express du client lui-même.
  • Nous tenons nos clients informés de tout sous-traitant ayant accès à leurs données, des données concernées, et de l’usage qui en est fait.
  • Nous appliquons des standards de sécurité pour protéger les données dans tout leur cycle de vie.
  • Nous reporterons publiquement tout incident en cas d’atteinte ou de violation des données qui nous sont confiées sans retard.
  • Nous fournissons une documentation précise assurant notre conformité au RGPD.

Les responsabilités d’alwaysdata en tant que responsable de traitement

  • Nous limitons les données à caractère personnel collectées au strict minimum pour l’exécution du service, à des fins de facturation et de support.
  • Nous n’utilisons les données collectées qu’aux fins spécifiées dans nos CGU et contrats.
  • Nous ne conservons aucune donnée qui ne serait pas pertinente dans l’exécution de nos services.
  • Nous ne transférons aucune donnée en dehors du territoire européen sans votre consentement éclairé.
  • Nous mettons en œuvre des mesures techniques pour assurer un haut degré de sécurisation sur les données qui nous sont confiées.

Mesures de sécurité chez alwaysdata

Deux domaines de sécurités sont identifiables : celui concernant les données stockées par nos clients, et celui de nos infrastructures hébergeant ces informations.

Concernant les données hébergées par nos clients, ces derniers sont eux-mêmes responsables de leurs données, en assurant la sécurité de leurs services, sites internet, applications, ou tout autre système logiciel déployé sur les infrastructures d’alwaysdata.

Concernant les infrastructures d’alwaysdata elles-mêmes, nous nous assurons d’un degré de sécurité optimal. Cela signifie notamment que les accès physiques aux systèmes sont rigoureusement contrôlés, que les logiciels et systèmes sont surveillés, patchés et mis à jour avec les mises à niveau de sécurités concernées, et que nous utilisons des dispositifs anti-intrusion pour prévenir les attaques.

Que fait alwaysdata pour préparer sa mise en conformité avec le RGPD ?

alwaysdata est déjà en conformité avec la directive 95/46/EC. Nous avons continué sur notre lancée. Nous avons principalement travaillé à la mise à jour de nos CGU pour nous assurer qu’elles précisent nos obligations vis-à-vis du RGPD. Techniquement, nous suivons les principes Privacy by Design depuis nos débuts, et nous n’avons jamais collecté plus d’information que nécessaire. Nous sommes conformes au RGPD depuis longtemps. Voyons donc ce que cela concerne !

Principes de Privacy by Design et Privacy by Default

Nos processus de design et de développement sont conformes aux principes de Privacy by Design et Privacy by default. La vie privée est une des valeurs que nous défendons depuis longtemps ; vous pouvez à ce sujet voir ou revoir la conférence de m4dz, notre évangéliste technique, lors de l’édition 2018 du BreizhCamp, au sujet de la Privacy by Design.

Information et droit à la suppression

Nous supprimons déjà toute donnée à caractère personnel lors de la suppression des comptes. Nous ne conservons rien à l’exception des données requises dans un cadre légal, comme la liste des transactions ou les journaux, pendant une période de temps limitée, définie par la loi.

Droit à la portabilité

Notre API, déjà disponible, vous permet d’accéder à l’ensemble de vos informations enregistrées sur les systèmes d’alwaysdata. Vous pouvez également nous en faire la demande par mail à contact@alwaysdata.com.

Pas de transfert de consentement

Nous ne transférons aucune information à quelque sous-traitant autre que ceux mentionnés dans nos CGU, dans la limite des actions décrites, sans votre consentement explicite.

Quelles actions à entreprendre pour nos clients ?

Mis à part lire et valider nos nouvelles CGU, aucune action n’est requise de la part de nos utilisateurs. Nous vous encourageons vivement, tout comme nos partenaires, à entreprendre votre mise en conformité au RGPD dès à présent. Si les services que vous hébergez ont déjà un bon niveau de sécurité et de bonnes pratiques en termes de vie privée, le changement ne devrait pas être difficile.

Vous pouvez accéder à nos nouvelles CGU ici. N’hésitez pas à utiliser les commentaires pour toute question relative à la mise en place du RGPD chez alwaysdata.