Micro Extension et le Règlement Général sur la Protection des Données
Qu’est-ce que le RGPD ?
Le règlement général sur la protection des données personnelles (RGPD) a été créé pour instaurer une législation européenne commune sur la confidentialité des données en vue de protéger l’ensemble des citoyens de l’Union européenne. Il remplace la directive 95/46/CE sur la protection des données personnelles, et présente notamment les différences suivantes avec cette dernière :
· Juridiction élargie. Le règlement général sur la protection des données personnelles s’appliquera à toutes les entreprises traitant les données personnelles d’un résident de l’Union européenne, quel que soit l’emplacement de ces entreprises.
· Sanctions. En cas de manquement au RGPD, les organisations (responsables du contrôle et du traitement des données compris) seront passibles d’une sanction financière pouvant s’élever à 4 % du chiffre d’affaires annuel mondial ou à 20 millions d’euros (le montant le plus élevé étant celui pris en compte).
· Consentement. Le consentement devra être clairement présenté, et être séparable des autres accords écrits. Il devra également être aussi simple à retirer qu’à donner.
· Notification des violations de données personnelles : La notification des violations de données personnelles sera obligatoire. L’entreprise devra notifier l’autorité compétente d’une telle violation au plus tard 72 heures après en avoir pris connaissance.
· Vie privée. Le RGPD exige que la protection des données personnelles soit prévue dès le début de la conception des systèmes, et non en complément.
Qui est concerné ?
Le RGPD s’applique aux organisations de l’Union européenne, ainsi qu’aux entreprises basées en dehors de l’UE. Essentiellement, toute organisation offrant des biens ou services à des résidents de l’Union Européenne, ou surveillant le comportement de ceux-ci, est concernée par le RGPD. Le RGPD s’applique à la fois aux responsables du contrôle et du traitement des données, ce qui signifie que les « clouds » n’en sont pas exempts.
Dans la mesure où les marques qui proposent des services à des millions d’utilisateurs à travers le monde ont l’obligation de respecter les lois des pays dans lesquels elles font des affaires, il incombe aux organisations qui font également des affaires dans ces pays de travailler ensemble. Que vous soyez une multinationale ou une petite entreprise basée sur le web ayant des clients au sein de l’UE, en choisissant les services fournis par un partenaire qui s’engage à respecter le RGPD, vous vous mettrez en conformité avec le RGPD de façon transparente.
Créé en 1984, Micro Extension est aujourd’hui l’un des acteurs majeurs du tissus informatique Corse. La satisfaction de nos clients et la sécurité de leurs données personnelles nous tiennent particulièrement à cœur. Nous sommes conscients des enjeux que représente la protection de vos données pour votre organisation, notamment en matière de conformité réglementaire. C’est pourquoi nous mettons à votre disposition l’information la plus complète possible, à propos des enjeux en matière de protection des données à caractère personnel.
Un critère de conformité
En plus de proposer des services performants et sécurisés, Micro Extension s’engage à ce que ces solutions soient conformes et transparentes dans leur fonctionnement. Cette détermination est cruciale pour l’ensemble des structures qui font appel à nos services pour leur système d’information : leur propre conformité est conditionnée par celle de leur sous-traitant. C’est donc en partie grâce aux engagements fournis par Micro Extension que vous serez en mesure de respecter vos propres obligations réglementaires. Cette exigence est notamment présente au sein de l’article 28 du RGPD, indiquant qu’un « responsable de traitement » doit uniquement faire « appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement ».
La Commission nationale de l’informatique et des libertés (CNIL), autorité française chargée de veiller au respect des dispositions relatives à la protection des données personnelles, recommande d’ailleurs « qu’une entreprise […] qui envisage de recourir à une société de services informatique réalise une analyse de risques et soit très rigoureuse dans le choix de son prestataire. En particulier, l’entreprise devra prendre en considération les garanties offertes par le prestataire en matière de protection des données personnelles et s’assurer que ce dernier lui fournira toutes les garanties nécessaires au respect de ses obligations au regard de la loi ».
Engagement n° 1 : la non-réutilisation des données hébergées par nos services
Micro Extension s’engage à traiter les données à caractère personnel du client aux seules fins de la bonne exécution des services et selon ses seules instructions.
Les informations hébergées dans le cadre de nos services restent la propriété du client.
Nous nous interdisons toute revente desdites données, de même que toute utilisation à des fins commerciales (telles des activités de profilage ou de marketing direct).
Engagement n °2 : savoir précisément où sont stockées et traitées vos données
Vos données ne quittent jamais nos locaux, hors intervention nécessitant une remontée de celles-ci dans le cloud. Vos données sont stockées de manières sécurisées sur nos serveurs lorsque cela est nécessaire au bon déroulement d’une intervention technique.
Le « stockage des données » n’est cependant pas synonyme de « traitement des données ». Le RGPD fixe en effet des règles applicables en matière de « traitement » et non de simple « stockage ». Il convient donc d’être particulièrement attentif lors de l’utilisation de ces deux termes.
Engagement n° 3 : une transparence totale en matière de recours à des sous-traitants
À l’exception de nos sociétés apparentées, et sauf stipulations spécifiques au sein des conditions particulières d’un service, aucune autre entreprise n’est amenée à pouvoir visualiser ou accéder aux données de nos clients.
La liste des sociétés apparentées à votre installation est disponible sur simple demande auprès de notre équipe Support. Il s’agit essentiellement de partenaires de confiance appliquant les critères de qualité et de conformité permettant de répondre favorablement au RGPD.
Enfin, si Micro Extension était amené dans le futur à sous-traiter des activités impliquant une visualisation ou un accès à des données, cette démarche serait conditionnée à l’accord de nos clients.
Engagement n° 4 : garantir la confidentialité de vos données
Nos services traitant vos données sont soumis à une obligation de confidentialité. Des mesures sont également prises afin de garantir la sécurité de vos données. Au terme de la prestation, et selon vos instructions, nous supprimons toute données, détruisons les copies existantes (sauf obligation légale de les conserver), et pouvons vous remettre celles-ci via le support de votre choix.
Dès leurs conceptions, nos solutions intègrent de façon effective les principes relatifs à la protection de données et garantissent que seules sont traitées les données nécessaires à la finalité du traitement.
Engagement n° 5 : une assistance vous permettant d’être protégé
Si selon notre étude de votre installation informatique nous constatons une violation des règles en matière de protection des données, nous vous en informons immédiatement et vous proposons une solution viable et durable permettant d’y remédier. Nous vous aidons à garantir le respect des obligations en matière de sécurité relative au RGPD.