Le RGPD a été le mot clé de toutes les communications reçues et envoyées durant le mois de mai 2018 en Suisse,  en Europe, même sur l’ensemble de la planète.  En effet, le nouveau règlement européen sur la protection des données fait sentir ses effets à travers le monde, y compris aux Etats-Unis, en Chine ou encore en Suisse puisque toute entreprise traitant des données personnelles d’Européens est obligée de l’appliquer. Infologo, en tant que prestataire IT utilise des services en Suisse mais aussi à l’étranger. Petit point de situation sur l’impact du RGPD chez nous fournisseurs.

Infologo et le RGPD

Comme vous pouvez le constater dans le graphique Google Trends ci-dessous, même en Suisse, qui n’est pas aussi touchée par le RGPD que la France, a montré intérêt croissant pour ce règlement ces dernières semaines.

La déferlante d’emails reçus ces derniers jours pour obtenir le consentement des résidents européens (et suisses aussi, noyés dans la masse) pour continuer de recevoir des emails doit avoir donné un sacré coup de projecteur au RGDP. Cependant, dans la plupart des cas, ces campagnes étaient inutiles. Il est important de comprendre pourquoi RGPD et E-mail sont deux choses différentes.

Pour  clore le sujet, et paraphraser les spécialistes email marketing de Soleil Digital :

En B2B le consentement préalable pour traiter des données et adresser des e-mails de prospection à des entreprises n’est pas nécessaire.

C’est d’ailleurs pourquoi vous n’avez pas reçu une demande de consentement de la part d’Infologo. On peut d’ailleurs s’interroger sur le résultat de cette frénésie d’emails.

Le magazine Slate tire déjà ses propres conclusions de ces campagnes de mise en conformité :-)

Le cadre général du RGPD

Revenons aux choses sérieuses et détaillons le Règlement Général sur la Protection des Données (RGPD) entré en vigueur le 25 mai 2018. Son but ? Accroître la protection des données à caractère personnel mais aussi la responsabilité de tous ceux qui sont engagés dans le processus de traitement de données : personnes concernées, responsables du traitement, sous-traitants. Pour en connaître plus de détails, nous vous invitons à lire cet article de nos camarades de Soleil Digital qui se propose de faire une synthèse sur le RGPD.

Les rôles dans le cadre du RGPD

Découvrons quels sont les acteurs qui seront impactés par le RGPD dans le cadre de nos contrats de prestations de services informatiques et de téléphonie d’entreprise !

Vous, client d’Infologo

Vous êtes le responsable du traitement des données :

  • si vous êtes dans l’Union Européenne
  • si vous n’êtes pas dans l’Union Européenne mais vous proposez des biens et des services aux personnes résidentes dans l’Union Européenne

Quelles sont vos obligations en tant que responsable du traitement ?

  1. Vous assurer que vous respectez les droits de la personne concernée (le droit d’information, le droit d’accès, le droit de rectification, le droit à l’oubli ou le droit d’effacement, le droit à la limitation du traitement, le droit à la portabilité des données, le droit d’opposition, le droit de ne pas être soumis à une décision individuelle automatisée, le droit à la communication d’une violation de données à caractère personnel).
  2. Vous assurer avoir obtenu l’accord pour le traitement des données à la suite d’une de ces conditions (le consentement explicite, le contrat, l’obligation légale, l’intérêt vital, la mission publique, l’intérêt légitime).
  3. Vous assurer que vos sous-traitants sont conformes au RGPD.
  4. Vous assurer que vous respectez le principe de la protection des données dès la conception et la protection des données par défaut.
  5. Démontrer/Prouver que les points énumérés ci-dessus sont respectés (que le traitement des données est conforme au RGPD).

Le rôle d’Infologo : votre sous-traitant

En tant que fournisseur de services IT et de téléphonie, nous sommes des sous-traitants. Défini dans le RGPD comme

la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

Le sous-traitant exploite les données fournies par le responsable du traitement pour atteindre des finalités également définies par ce dernier.

Quelles sont les obligations générales des sous-traitants dans le cadre du RGPD ?

  1. Mettre en oeuvre des mesures techniques et opérationnelles afin que le traitement des données soit conforme au RGPD et respecte la protection des données à caractère personnel.
  2. Ne pas recruter un autre sous-traitant sans avoir informé et reçu l’autorisation écrite du responsable du traitement.
  3. Agir sur la base d’un contrat dans lequel les points suivants sont bien définis : l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, les obligations et les droits du responsable du traitement.
  4. Tenir un registre des activités de traitement effectuées, comprenant : le nom et les coordonnées de tous les sous-traitants et responsables du traitement, les catégories de traitements réalisés, les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale , une description générale des mesures de sécurité techniques et opérationnelles pour être conforme au RGPD.

Nos premiers pas vers la mise en conformité

Pour répondre aux exigences du RGPD, nous avons commencé par :

Nous nous sommes également intéressés de près à nos partenaires pour nous assurer qu’eux aussi sont conformes au RGPD.

Fournisseurs d’Infologo :  des sous-traitants aussi

Intéressons-nous maintenant aux différents sous-traitants qu’Infologo peut prescrire à ses clients. Cette liste n’est pas forcément exhaustive et devra être complétée ultérieurement.

Microsoft a largement communiqué autour des mesures qu’ils ont mises en oeuvre pour répondre aux exigences du RGPD. Nous vous invitons à découvrir plus de détails dans ce pdf.

Microsoft et le RGPD

Avaya, le leader des solutions de communications proposant la solution la plus complète de logiciels et de services dédiés aux centres de contact et pour les communications unifiées, a également mis à jour sa politique de confidentialité pour mettre en évidence sa préoccupation pour la protection des données à caractère personnel. La société a également mis à la disposition de ses partenaires le Data Processing Agreement (DPA), document indispensable dans le cadre du RGPD.

Wildix, le fournisseur italien de solutions de communications unifiées et des produits VoIP accessibles depuis un navigateur (WebRTC), prévoit dans sa politique de confidentialité les mesures déjà existantes qui doivent être activées pour respecter les exigences du RGPD. Pour en savoir plus, veuillez visiter ce lien.

Même si VTX  n’est pas touché directement par le RGPD, il s’engage à répondre aux demandes de ses clients soumis au RGPD et à mettre en oeuvre les mesures nécessaires dans le cadre de la nouvelle réglementation. Découvrez les engagements de VTX envers ses clients en poursuivant ce lien !

Chez Infomaniak la politique est structurée autour de 4 points :

  • Protéger les données personnelles par un engagement permanent
  • Une approche stratégique de la gestion des données
  • Un rôle et une responsabilité double (rôle de responsable de traitement et de sous-traitant)
  • Réussir sa mise en conformité au RGPD

Pour en savoir plus sur les engagements d’Infomaniak, veuillez lire cet article.

Nos prochaines actions pour la mise en conformité

Infologo peut aujourd’hui garantir que ses sous-traitants vont tous respecter le RGPD. Nous allons d’ailleurs veiller dans le futur à sélectionner uniquement des sous-traitants qui respectent ce nouveau règlement. Nous couvrons ainsi les obligations 1 et 2 citées précédemment.

Comme nous sommes un intégrateur, que nous ne manipulons pas de données, notre engagement se situe surtout au niveau de l’ obligations 4 :
Tenir un registre des activités de traitement effectuées, comprenant : le nom et les coordonnées de tous les sous-traitants et responsables du traitement, les catégories de traitements réalisés, les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale , une description générale des mesures de sécurité techniques et opérationnelles pour être conforme au RGPD.

A court terme, si vous traitez des données de résidents européens, merci de nous contacter. Nous étudierons votre infrastructure technique et nos obligations communes au cas par cas.

A moyen terme, nous allons mettre à jour nos procédures internes afin de répondre à ces nouvelles exigences.

Outils d’accompagnement à la mise en conformité au RGPD

Pour avancer de votre côté nous vous recommandons deux sources :

Besoin d’accompagnement dans la mise en conformité au RGPD ?