Conformité au règlement général sur la protection des données

Qui sommes-nous ?

TrackTik est le fournisseur de logiciels de gestion des opérations de sécurité et la seule plateforme tout-en-un du secteur offrant aux entreprises de services de sécurité un contrôle complet de tous les aspects de leur activité. TrackTik fait gagner du temps et de l'argent à ses clients en leur permettant d'accéder à des informations, de rationaliser leurs opérations et d'améliorer leur développement commercial grâce à une technologie mobile et web facile à utiliser, à une mise en œuvre personnalisée, à une assistance technique et à une boîte à outils de vente personnalisée. TrackTik est devenu le logiciel numéro 1 pour les experts en sécurité en stimulant l'efficacité et la croissance grâce à l'automatisation et à des données précises. Pour plus d'informations, visitez le site www.tracktik.com

Qu'est-ce que le GDPR ?

Le règlement général sur la protection des données (RGPD) est une nouvelle loi européenne sur la protection des données qui entrera pleinement en vigueur le 25 mai 2018. Il remplace la directive sur la protection des données (95/46/CE) ainsi que ses mises en œuvre nationales dans tous les États membres de l'Union européenne, avec pour objectif principal de redonner aux individus le contrôle de leurs informations personnelles et de simplifier l'environnement réglementaire pour les entreprises internationales.
Le GDPR s'applique aux "données personnelles", c'est-à-dire à toute information relative à une personne identifiable qui peut être identifiée directement ou indirectement, notamment par référence à un identifiant. Cette définition prévoit un large éventail d'identifiants personnels pour constituer des données à caractère personnel, y compris le nom, le numéro d'identification, les données de localisation, l'adresse IP ou l'identifiant en ligne, ce qui reflète l'évolution de la technologie et la manière dont les organisations collectent des informations sur les personnes.
Le GDPR concerne à la fois les "responsables du traitement" et les "sous-traitants". Le responsable du traitement est l'entité qui détermine les finalités et les moyens du traitement des données à caractère personnel, tandis que le sous-traitant est l'entité chargée de traiter les données à caractère personnel pour le compte du responsable du traitement. Pour la première fois, les sous-traitants ont des obligations directes - et non plus seulement les responsables du traitement - y compris la tenue d'un registre des activités de traitement ou la notification au responsable du traitement en cas de violation des données. Dans l'intervalle, les responsables du traitement sont tenus d'engager des sous-traitants qui offrent des "garanties suffisantes". TrackTik, dans ses fonctions de sous-traitant, comprend et prend au sérieux ces nouvelles exigences en matière de protection des données. En ce sens, cette brochure vise à fournir des informations générales sur le GDPR et à décrire notre position et nos initiatives concrètes à cet égard.

Quels sont les dix principaux changements apportés par le GDPR ?

1 Champ d'application territorial
Le GDPR s'applique aux entreprises établies dans l'UE, mais aussi à celles qui, en dehors de l'UE, offrent des biens ou des services aux résidents de l'UE ou surveillent leur comportement au sein de l'UE.

2 Consentement
Le GDPR place la barre très haut pour ce qui est du consentement, en ce sens qu'il doit être donné librement, spécifique, informé et sans ambiguïté, et qu'il doit être séparé d'autres termes dans un langage clair et simple. En outre, les personnes concernées doivent pouvoir retirer leur consentement à tout moment et de manière simple.

3 Droits des personnes concernées
Le GDPR confère aux individus des droits nouveaux et renforcés, notamment le droit à la portabilité des données, le droit à la limitation du traitement, le droit à l'oubli ou le droit de ne pas faire l'objet d'une décision fondée uniquement sur le profilage, dans certaines circonstances.

4 Responsabilité
Le GDPR impose aux entreprises d'importantes obligations de responsabilité pour démontrer leur conformité, telles que la tenue d'une certaine documentation, la réalisation d'une évaluation de l'impact sur la protection des données pour les activités à haut risque, ou la mise en œuvre de la protection des données "dès la conception" et "par défaut" (par exemple, la minimisation des données).

5 Transparence
Le GDPR exige des entreprises qu'elles fournissent des informations substantielles aux personnes concernées lorsqu'elles collectent leurs données personnelles, afin de garantir que leurs activités de traitement sont loyales et transparentes.

6 Délégué à la protection des données
Le GDPR impose la désignation d'un délégué à la protection des données (DPD) lorsque le traitement implique un suivi régulier et systématique des résidents de l'UE ou lorsqu'il concerne certaines catégories de données à grande échelle. Le DPD devra disposer de connaissances spécialisées suffisantes.

7 Notification des violations
Le GDPR exige des responsables du traitement qu'ils notifient une violation de données aux autorités de contrôle compétentes, sauf s'il est peu probable qu'elle représente un risque pour les droits et libertés des personnes concernées. Cette notification doit être effectuée sans retard injustifié et, dans la mesure du possible, dans les 72 heures suivant la prise de connaissance de la violation. Dans certains cas, le responsable du traitement des données doit également notifier les personnes concernées dans un délai raisonnable.

8 Transferts internationaux de données
Le GDPR continue d'interdire les transferts de données vers des pays situés en dehors de l'EEE, à moins qu'un niveau de protection adéquat n'existe dans le pays de destination. En outre, le GDPR réaffirme les mécanismes de transfert existants, tels que les Clauses Contractuelles Types ou les Règles Contraignantes d'Entreprise, et prévoit des mécanismes supplémentaires, notamment des codes de conduite approuvés et des systèmes de certification.

9 Guichet unique
Le GDPR consacre un mécanisme de guichet unique établissant essentiellement que les entreprises seront principalement réglementées par l'autorité de contrôle du lieu où elles ont leur "établissement principal".

10 Sanctions
Le GDPR confère aux autorités de contrôle des pouvoirs étendus pour faire respecter la conformité, y compris la capacité d'imposer des amendes importantes (jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial dans certains cas).

Comment nous situons-nous par rapport au GDPR ?

TrackTik agit en tant que "sous-traitant" pour les données à caractère personnel que vous et vos employés soumettent électroniquement dans nos applications de logiciel-service. En tant que tel, TrackTik traite les données personnelles en votre nom et selon vos instructions. Vous êtes le seul à déterminer quelles données à caractère personnel sont soumises et traitées dans le service en nuage de TrackTik et vous restez le contrôleur à tout moment. Nos activités de traitement impliquent le stockage sécurisé de vos données personnelles et le traitement des données personnelles nécessaires pour exploiter, soutenir et maintenir nos applications logicielles en tant que service.

TrackTik prend au sérieux toutes les lois sur la protection des données qui nous sont applicables dans notre rôle de processeur de données, y compris les exigences applicables du GDPR lorsqu'il entrera en vigueur le 25 mai 2018. Cela étant dit, il est également de votre responsabilité d'utiliser nos applications logicielles en tant que service d'une manière compatible avec vos propres obligations légales et réglementaires.

Comment pouvons-nous vous aider à vous conformer au GDPR ?

TrackTik est conscient de vos préoccupations : en tant que responsables du traitement des données, vous êtes tenus par le GDPR d'engager des sous-traitants de données qui fournissent des "garanties suffisantes", notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour mettre en œuvre des mesures techniques et organisationnelles appropriées qui satisferont aux exigences du GDPR en matière de protection des informations personnelles des personnes concernées.

Tracktik doit donc être en mesure de fournir ces garanties à ses clients. Plus encore, Tracktik s'engage à faciliter votre propre cheminement vers des programmes de conformité GDPR et à vous soutenir dans notre position de sous-traitant. Voici un échantillon de nos actions concrètes à cet égard :

Demandes des personnes concernées. TrackTik offre une suite de fonctionnalités configurables pour aider les clients à répondre aux demandes d'accès, de correction, de suppression ou de restriction de leurs données personnelles par leurs employés et à se conformer aux demandes de portabilité des données en vertu du GDPR.

Mesures de sécurité. TrackTik a mis en œuvre diverses mesures techniques et organisationnelles conçues pour protéger les données personnelles de nos clients contre la destruction accidentelle ou illégale, la perte, l'altération, la divulgation non autorisée des données personnelles ou l'accès à celles-ci. Les mesures techniques et organisationnelles de TrackTik sont régulièrement soumises à des audits de conformité rigoureux réalisés par des tiers en ce qui concerne la sécurité, la confidentialité, la disponibilité, l'intégrité du traitement et les contrôles de protection de la vie privée.

Notification de violation de données. En vertu du GDPR, nos clients, en tant que responsables du traitement, doivent notifier l'autorité de surveillance compétente sans retard indu et, si possible, au plus tard 72 heures après avoir pris connaissance d'une violation de données personnelles, sauf s'il est peu probable que la violation entraîne un risque pour les droits et libertés des personnes physiques. Si TrackTik prend connaissance d'une violation de données à caractère personnel affectant les données à caractère personnel de ses clients, TrackTik en informera ses clients dans les meilleurs délais et les aidera à remplir leurs obligations en matière de notification de violation de données en leur fournissant les informations pertinentes concernant la violation de données à caractère personnel.

Vous voulez en savoir plus sur le GDPR ?

Texte officiel du GDPR : http://data.europa.eu/eli/reg/2016/679/oj
Portail GDPR : https://www.eugdpr.org
Commission européenne, Protection des données : https://ec.europa.eu/info/law/law-topic/data-protection_en
ICO, Guide du GDPR : https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr
CNIL, Soyez prêts pour le GDPR : https://www.cnil.fr/se-preparer-au-reglement-europeen

Nous contacter

N'hésitez pas à nous contacter si vous avez des questions ou des demandes concernant cette brochure : [email protected]

Clause de non-responsabilité

Cette page est destinée à fournir des informations générales et ne doit être utilisée que comme point de départ pour comprendre les questions relatives au GDPR. Il ne s'agit pas d'un avis juridique, ni de faits ou d'opinions juridiques. Le contenu de ce document ne doit pas être invoqué dans une situation particulière, et les informations présentées ici ne sont pas garanties comme étant correctes, complètes ou à jour. Aucune action ne doit être entreprise sur la base des informations contenues dans ce document, et TrackTik décline toute responsabilité en ce qui concerne les actes ou omissions fondés sur le contenu de ce document. Vous devriez consulter un avocat agréé ou un expert en réglementation pour discuter de vos questions juridiques, de conformité et de GDPR spécifiques.