Réglementations en matière de protection des données à caractère personnel

 

Il existe différents textes de portée internationale, européenne ou nationale qui sont aujourd’hui applicables en matière de protection des données à caractère personnel. Les principaux sont les suivants :

 

• Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
• Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, abrogée le 25 mai 2018 par le Règlement (UE) 2016/679.
• Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
• Charte des droits fondamentaux de l’Union européenne (2012/C 326/02).
• Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel.

 

TIA s’engage à se conformer aux obligations lui incombant en vertu des réglementations suscitées et, particulièrement, du Règlement général sur la protection des données (RGPD).

 

Nous encourageons vivement l’ensemble de nos clients à être particulièrement vigilant sur ces aspects de conformité. D’autres réglementations plus spécifiques peuvent aussi exister, notamment pour certaines catégories particulières de données à caractère personnel. Il appartient au client de bien identifier les réglementations applicables à ses activités, afin de s’y conformer.

 

 

Le Data Protection Officer (DPO): un acteur au service quotidien de la protection des données

François Coulloudon est le DPO de TIA.

Le DPO dispose des ressources nécessaires pour exercer son rôle. Il conseille les opérationnels et dirigeants de l’entreprise, dans le respect des obligations et des bonnes pratiques que doit mettre en œuvre TIA en matière de protection des données à caractère personnel.

En pratique, il sensibilise et forme régulièrement les salariés du groupe, répond à leurs demandes en matière de protection et traitement des données personnelles. Il est également l’interlocuteur de l’ensemble des clients et utilisateurs souhaitant disposer de garanties appropriées quant aux mesures mises en œuvre pour assurer leur conformité avec la réglementation, dont le RGPD.

L’adresse à utiliser pour entrer en contact avec lui dans le cadre des données à caractère personnel est : gdpr@teeptrak.com

 

 

Le RGPD

Le Règlement général sur la protection des données (RGPD) est le cadre juridique du traitement de données à caractère personnel en Europe, à compter du 25 mai 2018. Contrairement à la directive 95/46/CE, qui régissait jusqu’alors ces traitements, le RGPD est d’application directe dans l’Union et ne nécessite pas de transpositions nationales. À ce titre, il va favoriser l’harmonisation des régimes juridiques en matière de protection des données à caractère personnel en Europe. Mieux encore, le RGPD dispose d’un principe d’extraterritorialité qui permet, dans certaines circonstances, d’étendre son périmètre d’application en dehors des frontières européennes.
Si vous êtes une structure traitant des données à caractère personnel, il y a de fortes chances pour que vous soyez assujetti aux dispositions du RGPD. À cet égard, vous êtes soumis à des obligations auxquelles il faut vous conformer. Il en est de même pour TIA qui, au regard de sa situation, disposera d’obligations distinctes : en sa qualité de sous-traitant ou de responsable de traitement.

 

 

Définitions

Comprendre les enjeux réels et précis d’un règlement européen n’est pas toujours chose aisée, surtout lorsqu’il comporte 99 articles, 173 considérants et de nombreuses lignes directives servant à préciser son interprétation. C’est pourtant essentiel afin d’éviter tout risque pouvant résulter d’une interprétation trop large ou imprécise des obligations réglementaires incombant à votre structure. La bonne compréhension des quelques termes définis ci-dessous est donc essentielle :

• Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable. Est réputée être une personne physique identifiable une personne physique qui peut être identifiée, directement ou indirectement.
• Traitement : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel (collecte, enregistrement, transmission, stockage, conservation, extraction, consultation, utilisation, interconnexion, etc.).
• Responsable du traitement : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.
• Sous-traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

 

 

TIA en qualité de sous-traitant

C’est certainement en cette qualité que vos attentes envers TIA sont les plus importantes. TIA est qualifié de « sous-traitant » lorsqu’il traite des données à caractère personnel pour le compte d’un responsable de traitement.

C’est typiquement le cas lorsque vous utilisez les services de TIA et stockez des données à caractère personnel sur une infrastructure TIA. Dans la limite de ses contraintes techniques, TIA ne pourra traiter les données stockées que selon vos instructions, et ce pour votre compte.

 

 

Les engagements de TIA en qualité de sous-traitant

En qualité de sous-traitant, TIA s’engage notamment à mettre en œuvre les actions suivantes :

• Traiter les données à caractère personnel aux seules fins de la bonne exécution des services : TIA ne traitera jamais vos informations à d’autres fins (marketing, etc.).
• Ne pas transférer vos données hors UE ou hors pays reconnus par la Commission européenne comme disposant d’un niveau de protection suffisant : sous réserve que vous ne sélectionniez pas une infrastructure dans une zone géographique hors UE (par exemple nos infrastructures Chine).
• Vous informer de tout recours à des sous-traitants qui pourraient traiter vos données à caractère personnel : à ce jour, aucune prestation impliquant un accès aux contenus stockés par vos soins dans le cadre des services n’est sous-traitée en dehors du groupe TIA.
• A mettre en œuvre des standards de sécurité élevés afin de fournir un haut niveau de sécurisation à nos services.
• Vous notifier dans les meilleurs délais en cas de violation de données.

 

 

FAQ : Qui est propriétaire des données à caractère personnel utilisées et stockées par le client dans le cadre des services ?

Les données hébergées par le client dans le cadre des services de TIA restent la propriété du client.

TIA n’y accède que lorsque cela est nécessaire dans le cadre de l’exécution des services et dans la limite de ses contraintes techniques et ne les utilise jamais sauf pour, de manière complètement anonyme, calculer l’impact sur la performance de ses systèmes dans la durée.

TIA s’interdit toute revente desdites données, de même que toute utilisation à des fins personnelles (telles des activités de datamining, de profilage ou de marketing direct).

 

TIA en qualité de responsable de traitement

TIA est qualifié de « responsable de traitement » lorsqu’il détermine les finalités et les moyens de « ses » traitements de données à caractère personnel.

C’est typiquement le cas quand TIA collecte des données à des fins de facturation, de gestion des recouvrements, de l’amélioration de la qualité des services et de la performance, de démarchage commercial, de gestion commerciale, etc. Mais aussi lorsque TIA traite les données à caractère personnel de ses propres salariés.

Dans cette hypothèse, « vos » données, celles que vous stockez sur les infrastructures TIA, ne sont pas concernées. En revanche, certaines informations vous concernant ou étant relatives à vos salariés (identité et coordonnées de l’interlocuteur TIA dans le cadre d’une demande d’assistance technique, par exemple) peuvent l’être. C’est pourquoi TIA tient à vous donner des éléments de compréhension sur les garanties mises en œuvre afin d’assurer la protection de ces données à caractère personnel.

• Traiter les données à caractère personnel aux seules fins de la bonne exécution des services : TIA ne traitera jamais vos informations à d’autres fins (marketing, etc.).
• Ne pas transférer vos données hors UE ou hors pays reconnus par la Commission européenne comme disposant d’un niveau de protection suffisant : sous réserve que vous ne sélectionniez pas une infrastructure dans une zone géographique hors UE (par exemple nos infrastructures Chine).
• Vous informer de tout recours à des sous-traitants qui pourraient traiter vos données à caractère personnel : à ce jour, aucune prestation impliquant un accès aux contenus stockés par vos soins dans le cadre des services n’est sous-traitée en dehors du groupe TIA.
• A mettre en œuvre des standards de sécurité élevés afin de fournir un haut niveau de sécurisation à nos services.
• Vous notifier dans les meilleurs délais en cas de violation de données.